Durch ein Sicherheitsloch im freien MP3-Player mpg123 kann beliebiger Code zur Ausführung gebracht werden. Das Problem besteht beim Parsen von Frame-Headern in Layer-2-Streams. Angreifer können durch speziell präparierte MP2- oder MP3-Dateien einen Buffer Overflow produzieren und so beliebigen Code ausführen. Yuri D'Elia hat das Sicherheitsproblem entdeckt und gemeldet.
Der Fehler in mpg123 betrifft die Versionen 0.59r und möglicherweise auch 0.59s. Wie beim zuletzt gefundenen Fehler im September 2004 scheinen die mpg123-Entwickler selbst nicht zu reagieren -- deren Homepage ist nach wie vor auf dem Stand von 2003. Daniel Kobras, Maintainer des Debian-Pakets, stellt jedoch einen Patch zur Verfügung; bei Debian behebt die Version 0.59r-18 das Problem. Auch die Gentoo-Entwickler haben eine korrigierte Version veröffentlicht.
http://www.heise.de/newsticker/meldung/55023
