Abo
  • IT-Karriere:

Angeblich auch GPL-Code in Sony BMGs Rootkit

Hinweise auf Code unterschiedlicher GPL- und LGPL-Software entdeckt

Hinweise, dass Sony BMGs Rootkit Code der LGPL-Software Lame enthält, gibt es schon seit einigen Tagen. Doch zusätzlich scheint das auf Musik-CDs eingesetzte DRM-System XCP auch noch Code aus GPL-lizenzierter Software zu enthalten, wie einige Entwickler festgestellt haben wollen.

Artikel veröffentlicht am , Julius Stiebert

Ein finnischer Student hatte bereits darauf aufmerksam gemacht, dass das DRM-System XCP Code des MP3-Encoders Lame enthält. Dieser unterliegt den Bestimmungen der LGPL, die das statische Linken gegen Closed-Source-Software untersagt.

Stellenmarkt
  1. GHM Gesellschaft für Handwerksmessen mbH, München
  2. BWI GmbH, Bonn, Köln, Wilhelmshaven, Potsdam-Schwielowsee

Sebastian Porst will mit Hilfe anderer Entwickler und der Firma Sabre Security zudem Code der mpglib im Kopierschutzsystem entdeckt haben. Dieser ist ebenfalls unter der LGPL lizenziert. Vermutlich sind diese Teile in die von First 4 Internet entwickelte Software geraten, da auch Hinweise auf mpg123 gefunden wurden. Ob noch mehr Teile aus mpg123, außer der mpglib, enthalten sind, steht derzeit noch nicht fest. Der mpg123-Player selbst unterliegt der GPL.

Des Weiteren ist laut Porst Code des "Freeware Advanced Audio Coder" (FAAC) enthalten, einem freien AAC-Encoder, der ebenfalls den Bestimmungen der LGPL unterliegt.

Porst will auch Hinweise darauf gefunden haben, dass First 4 Internet die GPL verletzt, denn XCP verwende Code des VideoLAN-Projektes. Dazu gehöre auch die Funktion DoShuffle aus der Datei drms.c, die von Jon Lech Johansen, dem Entwickler des DeCSS-Codes, und Sam Hocevar stammt. Dabei gibt es zwar Abweichungen, diese könnten aber auf unterschiedliche Versionsnummern zurückzuführen sein, so Porst.

Sony BMG hat mittlerweile begonnen, CDs mit dem XCP-Schutz aus dem Handel zu nehmen. Angeblich will man nichts von den enthaltenen Rootkit-Funktionen gewusst haben, da für die Entwicklung ausschließlich die Firma First 4 Internet zuständig war. Inwiefern die Hinweise auf GPL- und LGPL-Code nun noch Konsequenzen für Sony BMG oder First 4 Internet haben werden, bleibt abzuwarten. Der Code soll auf jeden Fall weiter untersucht werden, um eventuell noch andere Lizenzverstöße aufzudecken, verkünden Porst und seine Mitstreiter.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 1,72€
  3. 1,12€
  4. (-56%) 19,99€

Michael79 21. Nov 2005

Schade, aber ich hätte gerne noch ein paar interessante Kommentare von einem Profi...

Bruce Lee 20. Nov 2005

Kannst du mir sagen wo das in der LGPL steht dass die Objectdateien bei statischer...

Anonymaus 20. Nov 2005

Wär fast noch wertloser als er's als ClosedSource ist. Ist natürlich schon bitter, wenn...

Crest da Zoltral 19. Nov 2005

Nur muss man keinen AGBs oder EULAs zustimmen um ihr RootKit zu bekommen und mit etwas...

Martin F. 18. Nov 2005

http://img419.imageshack.us/full.php?image=xcp6ji.png (aus nem anderen Thread)


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
Endpoint Security: IT-Sicherheit ist ein Cocktail mit vielen Zutaten
Endpoint Security
IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Tausende Geräte in hundert verschiedenen Modellen mit Dutzenden unterschiedlichen Betriebssystemen. Das ist in großen Unternehmen Alltag und stellt alle, die für die IT-Sicherheit zuständig sind, vor Herausforderungen.
Von Anna Biselli

  1. Datendiebstahl Kundendaten zahlreicher deutscher Firmen offen im Netz
  2. Metro & Dish Tisch-Reservierung auf Google übernehmen
  3. Identitätsdiebstahl SIM-Dieb kommt zehn Jahre in Haft

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

Ricoh GR III im Test: Kompaktkamera mit Riesensensor, aber ohne Zoom
Ricoh GR III im Test
Kompaktkamera mit Riesensensor, aber ohne Zoom

Kann das gutgehen? Ricoh hat mit der GR III eine Kompaktkamera im Sortiment, die mit einem APS-C-Sensor ausgerüstet ist, rund 900 Euro kostet und keinen Zoom bietet. Wir haben die Kamera ausprobiert.
Ein Test von Andreas Donath

  1. Theta Z1 Ricoh stellt 360-Grad-Panoramakamera mit Profifunktionen vor
  2. Ricoh GR III Eine halbe Sekunde Belichtungszeit ohne Stativ

    •  /