Sicherheitslücke in MPlayer und Xine

Fehler in der Implementierung des Real-Time-Streaming-Protokolls. Der Real-Time-Streaming-Protokoll-(RTSP)-Client, der von den Media-Playern MPlayer und Xine zur Verbindung mit RealNetworks-Servern verwendet wird, enthält einige Sicherheitslücken. Dadurch ist es unter Umständen möglich, Puffer-Überläufe von außen zu erzwingen und so beliebigen Code auszuführen.

30. April 2004 um 10:50 Uhr / Jens Ihlenfeld

Kommentare Auf Google folgen (öffnet im neuen Fenster)

Zwar existiert noch kein Exploit für diese Sicherheitslücke, doch sei es zumindest theoretisch möglich, dass Angreifer auf diesem Weg beliebigen Code mit den Rechten von MPlayer bzw. Xine ausführen. Beide nutzen die gleiche RTSP-Implementierung.

Allerdings sind entsprechende Systeme nur dann gefährdet, wenn sie Real-RTSP-Streams abspielen. Wird Real-RTSP nicht genutzt, besteht auch keine Gefahr, so die Entwickler.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

Staatlich geprüfte Technikerin / Staatlich geprüfter Techniker (w/m/d) Bundesnachrichtendienst, Gablingen (öffnet im neuen Fenster)

Pflege-Informatiker / IT-Anwendungsbetreuer (m/w/d) Pflege - CGM medico kbo-Isar-Amper-Klinikum gemeinnützige GmbH, Haar (öffnet im neuen Fenster)

Senior Messaging Engineer (M365 / Email Infrastructure) (m/w/d) STRABAG BRVZ GMBH & CO.KG, Stuttgart (öffnet im neuen Fenster)

Duale Studenten Wirtschaftsinformatik (AWIS) mit Ausbildung zum Fachinformatiker (Anwendungsentwicklung) (w/m/d) Bausparkasse Mainz AG, Mainz (öffnet im neuen Fenster)

Digital Consultant AI (m/w/d) TenneT TSO GmbH, Lehrte,Bayreuth (öffnet im neuen Fenster)

Sachbearbeiter/-in (m/w/d) Service und Fachverfahrenskoordination Landeshauptstadt Potsdam, Potsdam (öffnet im neuen Fenster)

KI-Architekt/ AI-Architect (m/w/d) Hessisches Ministerium der Finanzen, Wiesbaden (öffnet im neuen Fenster)

Systemadministrator / IT-Mitarbeiter (w/m/d) im Referat » IT-Infrastruktur, Verfahrensbetreuung und Service Desk « Statistisches Landesamt Baden-Württemberg, Fellbach (öffnet im neuen Fenster)

Abhilfe schafft ein Update auf die aktuelle MPlayer-Version bzw. xine-lib 1-rc4 oder höher.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

KiSS brüskiert MPlayer-Team und Open-Source-Szene

"Wir werden unsere Software nicht als Open Source veröffentlichen". In einem Interview mit einem dänischen Radiosender hat Peter Wilmar Christensen, der Managing Director des DivX-DVD-Player-Herstellers KiSS Technology, endlich zu den "Code-Klau-Vorwürfen" des MPlayer-Teams Stellung bezogen. In einer vom MPlayer-Team veröffentlichten, ins Englische übersetzten Mitschrift bezeichnet Christensen die Anschuldigungen als falsch und vermutet, dass auch das MPlayer-Team Code von KiSS übernommen haben könnte, obwohl er gleichsam einräumt, dass man noch nicht alles überprüft habe.

Xine: Quicktime-Filme auf allen Plattformen

Aktuelle Beta bringt nativen Sorenson-SVQ3-Support. Der Media-Player Xine hat jetzt in der Version 1-Beta12 mit Hilfe des ffmpeg-Projekts native Unterstützung für den Sorenson-SVQ3-Video-Codec, der auch in Apples Quicktime zum Einsatz kommt. Damit ist es mit Xine nun möglich, auf allen unterstützten Plattformen Quicktime-Videos wiederzugeben, was bislang nur auf x86-Systemen möglich war.

MPlayer 0.90: Vielseitiger Media-Player für Linux

Software spielt auch DivX, Quicktime und Real Video. Die Entwickler des nicht unumstrittenen Projekts MPlayer haben jetzt ihren Video-Player für Linux und Unix in einer neuen Version veröffentlicht. Die Software unterstützt eine Vielzahl von Dateiformaten und Codecs, darunter solche, die eigentlich nur in binärer Form für Windows verfügbar sind.

Relevante Themen