Menü
Alert! Security

Schwachstelle in xine-lib behoben

Von
vorlesen Drucken Kommentare lesen 14 Beiträge

Die Entwickler der Multimedia-Bibliothek xine-lib haben in der aktuellen Version 1.1.12 eine Schwachstelle und weitere Fehler behoben. Angreifer konnten beispielsweise mit manipulierten Ogg-Dateien, in denen der Speex-Codec für den Ton verwendet wird, schädlichen Programmcode einschmuggeln.

Die Sicherheitslücke geht auf einen Fehler in der eingesetzten Version der libfishsound zurück. Laut einer Fehlermeldung des oCERT überprüft libfishsound vor der aktuellen Version 0.9.1 Benutzerangaben im Speex-Header nicht korrekt und kann dadurch einen negativen Wert für einen Zeiger nutzen. Dadurch lässt sich fremder Code ausführen. Die Lücke betrifft neben xine-lib auch weitere auf libfishsound aufsetzende Programme wie das OggPlay Firefox-Plug-in oder die Ogg-DirectShow-Filter von Illiminable.

Die neue Version der xine-lib behebt zudem Fehler bei der Verarbeitung von QuickTime-Containern und Matroska-Dateien, die mit der Version 1.1.11.1 wieder in den Code Einzug hielten – eine sogenannte Regression. Außerdem haben die Entwickler den PulseAudio-Treiber ausgebessert.

Nutzer von auf xine-lib basierenden Playern wie Totem oder Kaffeine sollten die aktuelle Version schnellstmöglich einspielen. Die Linux-Distributoren bieten inzwischen bereits aktualisierte Pakete an oder werden dies in Kürze tun.

Siehe dazu auch:

(dmk)