Der weit verbreitete Unix-Mediaplayer xine ist anfällig für das Einschmuggeln und Ausführen von fremden Code beim Verarbeiten von CD-Datenbankeinträgen aus der Online-CD-Datenbank CDDB. Es handelt sich bei dem Fehler um eine so genannte Format-String-Schwachstelle.
Der Fehler kann über manipulierte CDDB-Einträge ausgenutzt werden. Da jedermann CDDB-Einträge verändern kann, könnte ein Angreifer einen automatisierten Massenangriff starten, indem er die Titellisten von populären CDs entsprechend manipuliert.
Betroffen sind mindestens die xine-Versionen 0.9.13, 1.0, 1.0.1, 1.0.2 und 1.1.0. Betroffene Nutzer sollten ihr xine-Paket auf Version 1.1.1 oder neuer aktualisieren oder aber die CDDB-Lookups abstellen.
Siehe dazu auch:
* Security Advisory von den xine-Entwicklern
* Fehlermeldung auf Full Disclosure von Ulf Harnhammar (Debian Security Audit Project)
Quelle und Links :
http://www.heise.de/security/news/meldung/64740
