Menü

GNUnets libextractor lässt sich Code unterjubeln

vorlesen Drucken Kommentare lesen 1 Beitrag

Die libextractor-Bibliothek des GNUnet-Projekts, das sich anonymen Peer-to-Peer-Netzen widmet, lässt sich aufgrund fehlerhafter Programmierung der Verarbeitungsmodule für asf- und qt-Dateien Schadcode unterjubeln. libextractor dient zum Auslesen von Metadaten aus Dateien.

Mit manipulierten Dateien könnten Angreifer in der Bibliothek einen Heap-basierten Pufferüberlauf auslösen (siehe auch den Hintergrundartikel Ein Haufen Risiko auf heise Security). Der Entdecker der Schwachstellen, Luigi Auriemma, verlinkt in seiner Sicherheitsmeldung einen Proof-of-Concept-Exploit, der die Sicherheitslücke demonstriert. Nutzer von libextractor sollten auf die Version 0.5.14 aktualisieren; für Windows steht noch keine neue Version bereit.

Siehe dazu auch: (dmk)