Thema: Update schließt kritische Lücken in Xine-Bibliothek

[SiLæncer]

Nicht nur das Betrachten von präparierten Bildern unter Unix und Windows kann mittlerweile die Sicherheit eines Systems gefährden. Auch DVDs und VideoCDs sind prinzipiell geeignet, Fehler in Software-Video-Playern auszunutzen, um PCs mit Malware zu infizieren. Daher haben die Entwickler des freien Video-Players Xine die neue Bibliothek xine-lib 1-rc6a herausgegeben, die genau fünf solcher Möglichkeiten in ihrem Produkt beseitigt.  

Allein drei Buffer Overflows im VCD-Modul hat man ausgemerzt. Bei einem reichte dazu schon das Lesen des Disc-Labels nach dem Einlegen der CD aus, um Code in ein System zu schleusen. Ein Fehler war bereits seit Mitte August öffentlich bekannt, für den auch schon ein Patch verfügbar war. Zusätzlich hat man eine weitere Lücke im DVD-Subpicture-Decoder gestopft: Manipulierte DVDs provozieren nun keinen Heap Overflow mehr.

Quelle : www.heise.de

[SiLæncer]

Aktuelles QuickTime 6.5.2 soll Sicherheitslücke endgültig beheben

Bereits seit einem Tag bietet Apple eine aktualisierte QuickTime-Version für Windows und MacOS X zum Download an, liefert aber erst jetzt Angaben dazu, was das Update an Veränderungen bringt. So soll die aktuelle Version von QuickTime das längst bereinigt geglaubte schwere Sicherheitsloch bei der Anzeige von BMP-Bildern endgültig beheben.
    
Bislang war nur bekannt, dass MacOS X von der BMP-Sicherheitslücke betroffen war, die aber auch in der Windows-Version von QuickTime enthalten ist. Die BMP-Sicherheitslücke in QuickTime gestattet einem Angreifer, durch ein manipuliertes BMP-Bild sowohl auf verschiedenen Windows-Systemen als auch unter mehreren Versionen von MacOS X Programmcode auszuführen. Darüber können sich Angreifer eine umfassende Kontrolle über ein fremdes System verschaffen, indem sie Opfer dazu bringen, BMP-Bilder mit QuickTime anzuzeigen, damit in das Bild eingebetteter Programmcode ausgeführt werden kann.

Ein weiteres Sicherheitsloch betrifft nur die Windows-Versionen von QuickTime, bei denen ein Integer Overflow auftritt, der im Zusammenspiel mit in HTML-Seiten eingebetteten Media-Dateien ausgenutzt werden kann. Dieses Sicherheitsleck ist nach Apple-Angaben nicht in den MacOS-X-Versionen von QuickTime enthalten.

Apple bietet QuickTime in der Version 6.5.2 ab sofort in deutscher Sprache für Windows und MacOS X zum Download an, um die beschriebenen Sicherheitslöcher in der Software zu beheben.

http://www.apple.com/quicktime/products/qt/

Quelle : www.golem.de

[SiLæncer]

Der Sicherheitsdienstleister iDEFENSE hat insgesamt drei Meldungen über Schwachstellen im Mediaplayer MPlayer veröffentlicht. Alle Lücken beruhen auf Buffer Overflows. Gelingt es einem Angreifer, darüber Code einzuschleusen, kann er ihn im Kontext des angemeldeten Anwenders ausführen. Ein Fehler betrifft die Behandlung des Real-Time Streaming Protocol (RTSP) und tritt auf, wenn der Server falsche Angaben zur Länge eines Streams sendet. Da die Projekte MPlayer und xine für den RTSP-Client die gleiche Codebasis verwenden, findet sich das Problem auch in der Bibliothek xine-lib. Die Entwickler von xine haben bereits Version 1-rc8 veröffentlicht, die zudem ein Problem im PNM-Client beseitigt.

Ein weiterer Fehler im MPlayer findet sich in einer Routine zu Verarbeitung von ASF-Streams und lässt sich ebenfalls durch falsche Längenangaben im Stream bei der Wiedergabe provozieren. Der Fehler scheint identisch mit der von Studenten im Rahmen eines Kurses gefundenen Lücke zu sein. iDEFENSE, die für das Aufdecken von Schwachstellen Belohnungen auszahlt, gibt in seinem Advisory an, dass der Finder der Lücke anonym bleiben möchte. Die dritte gemeldete Schwachstelle bezieht sich auf das Parsen von Bitmaps. Die Lücke soll sich allerdings nur schwer ausnutzen lassen.

Alle Fehler wurden für die MPlayer-Version 1.0pre5 bestätigt. Die Entwickler haben die Fehler, neben zwei anderen, in Version 1.0pre5try2 beseitigt.

http://mplayerhq.hu/homepage/design7/news.html

Quelle : www.heise.de

[SiLæncer]

In Apples Quicktime-Playern sind mehrere schwerwiegende Schwachstellen aufgetaucht, die ein Angreifer durch versenden von manipulierten .mov- und PICT-Dateien zum Einschleusen von Code missbrauchen könnte. Der Sicherheitsexperte Piotr Bania hat mehrere Sicherheitsmeldungen zu den Lücken veröffentlicht.

Durch eine fehlerhafte Interpretation von Vorzeichen in einer Integer-Variable einer Zeichenfolge im Pascal-Stil könnte ein sehr großer Speicherbereich kopiert und dadurch belegter Speicher möglicherweise überschrieben werden. Eine weitere gleichartige Lücke findet sich beim Verarbeiten fehlerhafter Filmattribute.

Ein dritter Fehler tritt auf, wenn ein fehlendes Attribut einer .mov-Datei als Erweiterung interpretiert wird. Ist die Erweiterung nicht vorhanden, wird dies nicht als Fehler erkannt und in der Folge ein NULL-Pointer dereferenziert; die Anwendung reagiert nicht mehr.

Das letzte gemeldete Leck betrifft die Dekompression von gepackten PICT-Dateien. Der in Quicktime integrierte Bildbetrachter kann dabei Speicherbereiche außerhalb des angelegten Puffers überschreiben. Ein Angreifer könnte über manipulierte PICT-Dateien ebenfalls Code einschleusen.

Betroffen sind die Quicktime-Player 6.5.2 und 7.0.1 für Mac OS X sowie die 7er-Player für Windows. Ab Quicktime 7.0.2 für Mac OS X ist der Player fehlerbereinigt; Bania zufolge hat Apple auch für Windows die nötigen Patches bereitgestellt.

Siehe dazu auch:

    * Apple QuickTime Player Remote Integer Overflow (1) von Piotr Bania
    * Apple QuickTime Player Remote Integer Overflow (2) von Piotr Bania
    * Apple QuickTime Player Remote Denial Of Service von Piotr Bania
    * Apple QuickTime PICT Remote Memory Overwrite von Piotr Bania

Quelle und Links : http://www.heise.de/newsticker/meldung/65745

[SiLæncer]

Die gerade erschienene Version 7.0.3 des Quicktime Players ist ebenfalls verwundbar.

Vor wenigen Wochen erst hat Apple ein Update auf die Version 7.0.3 des Quicktime Players bereit gestellt. Laut einer Mitteilung von Eeye Digital Security ist die neue Version anfällig für das Einschleusen schädlichen Codes.

Im Oktober hatte Apple zusammen mit Itunes 6 auch Quicktime 7.0.3 veröffentlicht ( wir berichteten ). Wie erst einige Zeit später bekannt wurde, war das Update auf Version 7.0.3 eine Reaktion Apples auf von Piotr Bania entdeckte Sicherheitslücken in bestehenden Versionen des Players.

Eeye kündigt einen Sicherheitshinweis an, der weitere Details zu der neuen Sicherheitslücke enthalten soll. Wie bereits vorab bekannt wurde, kann mittels speziell präparierter Quicktime-Filme (.mov) schädlicher Code in die Windows-Version des Quicktime Players eingeschleust werden. Dieser Code kann mit den Berechtigungen des angemeldeten Benutzers ausgeführt werden.

Ob die Mac-Version ebenfalls anfällig ist, wird noch untersucht. Weitere Details werden, wie üblich, erst publik gemacht, wenn der Hersteller ein entsprechendes Update oder einen Sicherheitshinweis zur Vermeidung der Schwachstelle veröffentlicht.

Quelle : www.pcwelt.de

[SiLæncer]

Der Sicherheitsdienstleister eEye meldet Sicherheitslücken in Apples Mediasoftware iTunes und in Quicktime. Durch den als schwerwiegend eingestuften Fehler sei es für Angreifer möglich, Code einzuschleusen und im Kontext des angemeldeten Anwenders auf den betroffenen Rechnern auszuführen, heißt es. Das Problem betreffe "verschiedene Versionen" von iTunes und Quicktime und alle Betriebssysteme. Apple hatte erst kürzlich ein Update für iTunes für Windows XP und 2000 vorgelegt, mit dem vermieden werden soll, dass falsche Hilfsdateien ausgeführt werden können. Anfang November schloss Apple Sicherheitslücken in Quicktime.

Nähere Angaben zur Art der neuen Fehler und zu technischen Details der Lücken macht eEye derzeit noch nicht, hat Apple aber von den Problemen informiert. eEye verfolgt mit seinen Security-Advisories eine Politik des so genannten "responsible disclosure". Nach der Entdeckung einer Sicherheitslücke alarmiert eEye den Hersteller und erwartet, dass die Lücke innert 60 Tage gestopft wird. Passiert dies nicht, wird dies als Versäumnis betrachtet und ein Patch für das Leck als "overdue" angesehen. Ein detailliertes Advisory, das genaue Informationen zur Art der Sicherheitslücke liefert und damit auch Angreifern beim Ausnutzen des Lecks helfen könnte, liefert die Firma erst, wenn ein Patch vorliegt. eEye bietet eine Übersicht über diese so genannten "Upcoming Advisories" auch als Information darüber, welche Software gerade von einer nicht geschlossenen Lücke bedroht ist und welche Hersteller mit ihren Patches wie lange überfällig sind.

Siehe dazu auch:

    * Upcoming Advisoriesv on eEye Digital Security
    * EEYEB-20051117a, Upcoming Advisory zu Sicherheitslücke in Quicktime
    * EEYEB-20051117b, Upcoming Advisory zu Sicherheitslücke in iTunes

Quelle und Links : http://www.heise.de/newsticker/meldung/66386

[SiLæncer]

[Update]:

Mittlerweile hat eEye seine Advisories aktualisiert und spricht nur noch davon, dass alle "Windows-Systeme" beziehungsweise alle "Microsoft-Betriebssysteme" von den neu entdeckten Lücken in Quicktime und iTunes betroffen seien.

Quelle : www.heise.de

[SiLæncer]

Der Quicktime-Player reißt einmal mehr Sicherheitslücken in Windows und Mac OS X. Beim Anzeigen von Bildern oder Videodateien können diverse Buffer Overflows auftreten, die sich zum Einschleusen und Ausführen von Schadcode eignen.

Die Pufferüberläufe können durch manipulierte QTIF-, TGA-, TIFF- und GIF-Bilder sowie durch präparierte Media-Dateien, beispielsweise Filme oder Trailer im MOV-Format, provoziert werden. Apple schließt die Lücken mit einer neuen Quicktime-Version – und betitelt das Schließen der Sicherheitslücken als Sicherheitserweiterung.

Betroffen von den Lücken sind die Quicktime-Player 7.0.3 und möglicherweise auch ältere sowohl unter Mac OS X ab 10.3.9 als auch unter Windows 2000 und XP. Apple beseitigt die Fehler mit Version 7.0.4 des Players. Der iTunes-Download für Windows enthält offenbar noch die anfällige Version 7.0.3, Anwender der Software sollten den Quicktime-Player also separat herunterladen und aktualisieren.

Siehe dazu auch:

    * APPLE-SA-2006-01-10 QuickTime 7.0.4 Ankündigung von Apple
    * Quicktime-Downloads für die Standalone-Version von Apple


Quelle und Links : http://www.heise.de/security/news/meldung/68199

[SiLæncer]

Das gerade erst zur Behebung kritischer Sicherheitslücken veröffentlichte Update für QuickTime verursacht offenbar Schwierigkeiten. Im Support-Forum von Apple häufen sich Problemberichte von Windows- und Mac-OS-X-Nutzern, die die neue Version 7.0.4 installiert haben.

Die auftretenden Beschwerden reichen von fehlenden QuickTime-Pro-Features über merkwürdiges Desktop-Verhalten und Programmabstürze bis hin zu Schwierigkeiten mit iTunes und Netzwerkverbindungen. Die Mehrzahl der Probleme scheint allerdings nur unter Mac OS X aufzutreten, weshalb Apple für betroffene OS-X-Nutzer ein Downgrade auf QuickTime 7.0.1 zur Verfügung stellt. Bei der Download-Version auf der QuickTime-Homepage handelt es sich derzeit jedoch noch um Version 7.0.4.

Siehe dazu auch:

    * Patchday: Apple zieht nach und fixt Quicktime, Artikel von heise Security
    * QuickTime 7.0.1 Reinstaller for QuickTime 7.0.4, Download von Apple


Quelle und Links : http://www.heise.de/security/news/meldung/68316

[SiLæncer]

Der Sicherheitsdienstleister Secunia weist in einem Advisory auf zwei Sicherheitslücken im Open-Source-Media-Player MPlayer hin, die zum Absturz der Anwendung führen. Unter Umständen, meint Secunia, sei auch das Einschleusen und Ausführen von Schadcode mit den Rechten des Anwenders möglich. Ursache der Probleme sind Fehler in den Funktionen new_demux_packet() und demux_asf_read_packet() zur Verarbeitung von ASF-Streams. Zu lange Werte im Paket-Längen-Feld provozieren bei bei Wiedergabe Integer Overflows.

Die Lücken wurden in Version 1.0pre7try2 gefunden, wahrscheinlich sind auch vorhergehende Releases betroffen. Ein Fix steht zur Zeit nicht zur Verfügung. Anwender sollten beim Abspielen von ASF-Dateien oder Streams aus unbekannten Quellen höchste Vorsicht walten lassen. In Version 1.0pre5 trat vor rund 14 Monaten ein ähnliche Lücke bei präparierten Längenangaben in ASF-Streams auf.

Da Codeteile von MPlayer auch in anderen Projekten eingesetzt werden, könnten auch diese von der neuen Schwachstelle betroffen sein. In der Vergangenheit fanden sich etwa in den xine-libs oftmals die selben Fehler wie in den MPlayer-Bibliotheken.

Siehe dazu auch:

    * MPlayer ASF File Parsing Integer Overflow Vulnerabilities, Fehlerbericht von Secunia


Quelle und Links : http://www.heise.de/security/news/meldung/69274

[SiLæncer]

Apple hat ein Update für Quicktime bereit gestellt, das etliche Schwachstellen ausräumen soll.

Der kostenlos erhältliche Quicktime-Player von Apple macht immer wieder durch Sicherheitsanfälligkeiten von sich reden. Nun hat der Hersteller die neue Version 7.1 zum Download bereit gestellt, in der insgesamt zwölf Schwachstellen beseitigt sein sollen.

Zu den geschlossenen Sicherheitslücken sagt Apples Web-Seite in den Release Notes eher wenig. Im Wesentlichen wird der Umgang mit diversen Dateitypen nachgebessert. So können speziell präparierte Bilder und Filme in den bisherigen Quicktime-Versionen zum Absturz führen. Dabei kann schädlicher Programm-Code eingeschleust und ausgeführt werden.

Bei den Bilddateien betrifft dies die Dateitypen BMP, JPEG, Flashpix und PICT. Bei Filmen ist so ziemlich alles vertreten, was Rang und Namen hat: AVI, MP4 (MPEG-4), Flash, MOV (Quicktime) sowie H.264 (Videokonferenzen). Meist sind es die berüchtigten Pufferüberläufe, die durch präparierte Dateien erzeugt und ausgenutzt werden können.

Die Version 7.1 von Quicktime steht sowohl für Windows als auch für Mac OS X bereit. Das Update kann über die integrierte Update-Funktion des Programms bezogen werden. Dies geschieht im Normalfall automatisch, wenn Sie also die Update-Prüfung nicht ausgeschaltet haben, werden Sie beim nächsten Start von Quicktime auf die Verfügbarkeit der neuen Version hingewiesen.

Die Komplettversion des Quicktime-Players 7.1 für Windows 2000 und XP (35 MB) erhalten Sie bei Apple zum Download.

http://www.apple.com/quicktime/win.html

Quelle : www.pcwelt.de

[SiLæncer]

Die Version 7.1.3 des populären Media-Players QuickTime schließt mehrere Sicherheitslöcher. Durch präparierte Dateien in den Formaten H.264, QuickTime, FLC, FlashPix und SGI kann den Vorgängerversionen Schadcode untergejubelt werden, der dann mit den Rechten des Anwenders läuft.

Wie üblich erläutert Apple die Lücken nicht näher, sondern beschreibt nur ihre Auswirkungen. Alle betroffenen Formate können Pufferüberläufe auslösen, wodurch Angreifer Schadcode ins System einschleusen können. Manipulierte FlashPix-Dateien können zusätzlich auch noch eine Ausnahme auslösen, bei der ein nicht initialisiertes Objekt nicht weggeräumt wird – auch diese Lücke eignet sich zum Codeschmuggel.

Die Fehler betreffen die QuickTime-Versionen vor 7.1.3 unter Mac OS X 10.3.9 und neuer sowie unter Windows 2000 und XP. Nutzer von QuickTime sollten die neue Fassung der Software schnellstmöglich einspielen.

Siehe dazu auch:

    * About the security content of QuickTime 7.1.3, Zusammenfassung der geschlossenen Sicherheitslücken von Apple
    * Download der aktuellen QuickTime-Version für Mac OS X
    * Download der aktuellen QuickTime-Version für Windows

Quelle und Links : http://www.heise.de/security/news/meldung/78107

[SiLæncer]

Anwender des Open-Source-Mediaplayers Xine sollten ihre Programmbibliotheken aktualisieren: In den xine-lib-Versionen vor 1.1.3 ist eine Sicherheitslücke enthalten, die es Angreifern ermöglichen könnte, Schädlinge über Mediadateien auf den Rechner zu schleusen. Neben Xine nutzen auch andere Player diese Bibliotheken. Die Lücke findet sich in der Funktion asmrp_eval des Real-Media-Input-Plug-ins (src/input/libreal/real.c) und beruht auf einem Buffer Overflow, der durch zu viele Einträge im Rulebook eines Streams provoziert wird. Ein Rulebook enthält etwa Daten über zu verwendende Filter beim Abspielen et cetera. Ein Server könnte präparierte Rulebooks an einen Client senden.

Zudem ist in der aktualisierten Fassung der xine-libs eine ältere Lücke in der Bibliothek libmms zur Verarbeitung von Microsofts Streaming-Protocol geschlossen. Auch diese ermöglichte das Einschleusen und Ausführen von Code. Der Linux-Distributor Ubuntu gibt bereits fehlerbereinigte Paket heraus, andere Anbieter dürften demnächst folgen.

Siehe dazu auch:

    * Probably buffer overrun exploit in Real Media input plugin, Fehlerbericht auf SourceForge

Quelle und Links : http://www.heise.de/security/news/meldung/82048

[SiLæncer]

Noch kein Patch zur Abhilfe verfügbar

In Apples QuickTime wurde ein Sicherheitsleck entdeckt, für das bereits Beispiel-Code verfügbar ist. Bei der Verarbeitung des URL-Typs "rtsp" tritt ein Pufferüberlauf auf, worüber ein Angreifer beliebigen Programmcode ausführen kann. Bislang steht kein Patch zur Beseitigung des Fehlers bereit.

Über den URL-Typ rtsp werden QuickTime-Videos direkt geöffnet. Hierbei kommt es zu einem Pufferüberlauf, der zum Ausführen schadhaften Programmcodes missbraucht werden kann. Opfer müssen lediglich dazu gebracht werden, einen manipulierten Link zu einer entsprechenden QuickTime-Datei zu öffnen. Der Fehler wurde bislang für QuickTime 7.13 auf den Plattformen Windows und MacOS X bestätigt, wird aber vermutlich auch frühere Versionen der Software betreffen.

Bislang hat Apple kein Update für QuickTime veröffentlicht, um einen solchen Angriff zu verhindern. Daher bleibt als Lösung derzeit nur, die Verarbeitung von rtsp mit QuickTime zu deaktivieren oder die Apple-Software ganz zu deinstallieren.

Quelle : www.golem.de

[SiLæncer]

Patch umgeht Sicherheitsgefahr in QuickTime 7.1.3

Zumindest für die MacOS-Fassung von QuickTime 7.13 steht ein Workaround-Patch zum Download bereit. Damit soll der gestern berichtete Fehler in QuickTime umgangen werden, worüber Angreifer beliebigen Code ausführen können. Auf der Windows-Plattform bleibt der QuickTime-Fehler weiter bestehen.

Im Rahmen des "Month of Apple Bugs" (MOAB) wurde gestern ein Sicherheitsloch in QuickTime 7.1.3 aufgedeckt, worüber Angreifer beliebigen Programmcode ausführen können. Opfer müssen lediglich dazu gebracht werden, einen manipulierten rtsp-Link zu einer entsprechenden QuickTime-Datei zu öffnen.

Der nun verfügbare Workaround-Patch umgeht das Problem, setzt aber den Einsatz des Application Enhancer voraus. Der Patch prüft zuvor jede an QuickTime übergebene URL und soll so Manipulationsversuche erkennen und abwehren können. Eine manipulierte URL wird dann korrigiert, um die Funktionsfähigkeit von QuickTime nicht einzuschränken. Apple selbst hat noch keinen Patch für QuickTime 7.1.3 veröffentlicht.

Der aktuell laufende "Month of Apple Bugs" (MOAB) will jeden Tag ein neues Sicherheitsloch in MacOS X oder aber darauf laufenden Applikationen aufdecken, um zu zeigen, dass auch der Einsatz von MacOS X nicht vor derartigen Angriffen schützt. Am zweiten Tag drehte sich alles um eine Sicherheitslücke im VLC Media Player, während die Initiative mit dem Fehler in QuickTime begonnen wurde.

Quelle und Links : http://www.golem.de/0701/49705.html