Hersteller-Flicken

Hoch kritische Lücken in xine-lib bereinigt

Die Entwickler der Software xine-lib haben ein wichtiges Update zur Verfügung gestellt.

Die Schwachstellen lassen sich für DoS-Attacken und Systemzugriffe ausnutzen. Bei der Bearbeitung von ID3-Tags könnte sich ein Buffer-Overflow erzwingen lassen. Der Fehler liegt in der Datei src/demuxers/id3.c. Mit speziell präparierten Real-Media-Dateien könnte sich ebenfalls ein Buffer Overflow auslösen lassen. Schuld ist die fehlerhafte Funktion demux_real_send_chunk() in der Datei src/demuxers/demux_real.c. Ein weiterer Fehler liegt in der Funktion open_video_capture_device() in der Datei src/input/input_v4l.c. Dieser lässt sich mit speziell präparierten V4L-Streams ausnutzen.

Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes hinter sich ziehen. Die Sicherheitslücken sind bestätigt für Versionen vor 1.1.15. Die Entwickler empfehlen ein Update auf die aktuellste Variante von xine-lib. Die Linux-Distributoren dürften das Update in Kürze zur Verfügung stellen. (jdo)