Einspeisung von Schadcode möglich

Kritische Sicherheitslücke in BS.Player gemeldet

Über eine Schwachstelle im Mediaplayer BS.Player können Angreifer über präparierte Konfigurationsdateien beliebigen Schadcode einspeisen und auslösen.

Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in Version 2.51 Build 1022 der Free Edition des BS.Player auf. Die kommerzielle Pro und Pro Lite Edition ist ebenfalls betroffen. Gleiches gilt unter Umständen für ältere Versionen des BS.Player.

Die Sicherheitslücke tritt bei der Verarbeitung von BS.Player Konfigurationsdateien im BSI-Format auf. Angreifer, die beispielsweise in der Sektion „Options“ den Parameter „Skin“ entsprechend manipulieren, können über einen damit verbundenen, Stack-basierten Pufferüberlauf beliebigen Code in ein betroffenes System einspeisen. Da bislang kein Patch oder Update existiert, wird empfohlen, keine BSI-Dateien unbekannter Herkunft zu öffnen. (vgw)