Dass es mehrere kritische Lücken in der freien Bibliothek des Free Lossless Audio Codec (FLAC) gibt, ist zwar seit September bekannt, offenbar aber untergegangen, welche Produkte die Bibliothek benutzen und potenziell verwundbar sind. Das US-CERT hat deshalb nochmals einen Fehlerbericht mit einer Liste dazu veröffentlicht. Dieser Liste nach sind Cog, dBpoweramp, Foobar2000, jetAudio, PhatBox und Produkte von Yahoo (wahrscheinlich die Yahoo! Music Jukebox) betroffen. In Winamp ist die Lücke seit Version 5.5 geschlossen, in libFLAC seit Version 1.2.1.
Der Sicherheitsdienstleister eEye hat in einem neuen Fehlerbericht eine Übersicht über alle 14 bekannten Lücken in Parser von libFLAC gegeben, von denen fast alle auf Buffer Overflows beruhen. Zahlreiche davon sollen sich ausnutzen lassen, um über manipulierte Meta-Daten in FLAC-Dateien Code einzuschleusen und auszuführen. Neben den genannten Produkten greift allerdings auch die Open-Source-Audio-Codec-Bibliothek libavcodec auf libFLAC zurück. Offenbar ist der Fehler dort ebenfalls noch nicht beseitigt, sodass wahrscheinlich noch eine ganze Zahl weiterer Produkte von dem Problem betroffen ist. Unter anderem gehören MPlayer, VLC Media Player, GStreamer, ffdshow, xmms und xine dazu.
Anwender sollten bis zum Erscheinen von Updates nur FLAC-Dateien von vertrauenswürdigen Quellen abspielen. Bislang stolpert man aber noch nicht oft über FLAC-Dateien. Unter anderem bietet aber der US-Rapper Saul Williams sein aktuelles Album "The Inevitable Rise and Liberation of NiggyTardust!" in einer verlustfrei komprimierten Fassung im FLAC-Format zum Download an.
Siehe dazu auch:
* libFLAC contains multiple vulnerabilities, Fehlerbericht von US-CERT
* Multiple Vulnerabilities In .FLAC File Format and Various Media Applications, Fehlerbericht von eEye
Quelle und Links :
http://www.heise.de/security/news/meldung/99099/Zahlreiche-Mediaplayer-von-Luecke-in-Audiocodec-betroffen
