dedie
Der Sicherheitsdienstleister Secunia weist in einem Advisory auf zwei Sicherheitslücken im Open-Source-Media-Player MPlayer hin, die zum Absturz der Anwendung führen. Unter Umständen, meint Secunia, sei auch das Einschleusen und Ausführen von Schadcode mit den Rechten des Anwenders möglich. Ursache der Probleme sind Fehler in den Funktionen new_demux_packet() und demux_asf_read_packet() zur Verarbeitung von ASF-Streams. Zu lange Werte im Paket-Längen-Feld provozieren bei bei Wiedergabe Integer Overflows.
Die Lücken wurden in Version 1.0pre7try2 gefunden, wahrscheinlich sind auch vorhergehende Releases betroffen. Ein Fix steht zur Zeit nicht zur Verfügung. Anwender sollten beim Abspielen von ASF-Dateien oder Streams aus unbekannten Quellen höchste Vorsicht walten lassen. In Version 1.0pre5 trat vor rund 14 Monaten ein ähnliche Lücke bei präparierten Längenangaben in ASF-Streams auf.
Da Codeteile von MPlayer auch in anderen Projekten eingesetzt werden, könnten auch diese von der neuen Schwachstelle betroffen sein. In der Vergangenheit fanden sich etwa in den xine-libs oftmals die selben Fehler wie in den MPlayer-Bibliotheken.
QUELLE
Die Lücken wurden in Version 1.0pre7try2 gefunden, wahrscheinlich sind auch vorhergehende Releases betroffen. Ein Fix steht zur Zeit nicht zur Verfügung. Anwender sollten beim Abspielen von ASF-Dateien oder Streams aus unbekannten Quellen höchste Vorsicht walten lassen. In Version 1.0pre5 trat vor rund 14 Monaten ein ähnliche Lücke bei präparierten Längenangaben in ASF-Streams auf.
Da Codeteile von MPlayer auch in anderen Projekten eingesetzt werden, könnten auch diese von der neuen Schwachstelle betroffen sein. In der Vergangenheit fanden sich etwa in den xine-libs oftmals die selben Fehler wie in den MPlayer-Bibliotheken.
QUELLE