Einer Meldung auf der Mailingliste Full Disclosure zufolge stecken in der aktuellen Version des beliebten Open-Source-Mediaplayers Xine zwei Sicherheitslücken, über die ein Angreifer die Kontrolle über den Rechner übernehmen kann. Schuld sind zwei Format-String-Schwachstellen, die beim Abspielen von Playlists auftreten und sich durch die Angabe bestimmter Formatierungsanweisungen in den Pfaden zu den Mediadaten ausnutzen lassen. Darüber kann der Angreifer eigenen Maschinencode in das System schleusen und mit den Rechten des Anwenders ausführen. Die Fehler finden sich im Xine-Userinterface (xine-ui) in Version 0.99.4 in /src/xitk/main.c in der Funktion print_formatted(). Vorhergehende Versionen sind ebenfalls betroffen.
Ein Patch steht noch nicht zu Verfügung, allerdings sind die Entwickler nach Angaben des Entdeckers der Lücke seit über einem Jahr darüber informiert. Seiner Einschätzung nach sind die Entwickler einfach müde von den Fehlern in Xine, er hoffe aber, dass die Entwickler nun mit einem Update reagieren würden, bevor Anwender angegriffen werden. Bis dahin sollten die Nutzer von Xine keine Remote-Playlists abspielen.
Der ganze ArtikelQuelle :
www.heise.de
