Mandriva opublikowała zaktualizowaną wersję odtwarzacza MPlayer, aby załatać krytyczną lukę w systemach Mandriva 2007 i Mandriva Corporate 3.0.
Specjalnie przygotowany materiał wideo mógł spowodować wprowadzenie do peceta i wykonanie zdalnego kodu.
Ofiara musiała jednak wpierw pobrać oraz uruchomić złośliwy plik. To akurat wydaje się obecnych czasach wysoce prawdopodobne - pobranie i uruchomienie pliku wideo ułatwiają serwisy takie, jak chociażby YouTube.
Problem MPlayera dotyczy luki w funkcji DMO_VideoDecoder w module loader/dmo/DMO-VideoDecoder.c.
W wyniku tego może wystąpić błąd przepełnienia bufora pozwalający na przepisanie stosu.
Błąd odnaleziony został w MPlayerze w wersji do 1.0rc1. Inni dystrybutorzy systemów Linux opublikują wkrótce swoje łaty.
Opisywana dziura dotyczy również odtwarzacza Xine, który korzysta z tego samego kodu. Nowe pakiety związane z biblioteką xinelib zostały już opublikowane dla Ubuntu. Niestety, użytkownicy tej dystrybucji nie otrzymali jeszcze łat dla MPlayera.
Użytkownicy Windows muszą poczekać na oficjalną poprawioną wersję. Mogą również własnoręcznie skompilować źródła z CVS.
źródło: heise-security
Łatanie luki w odtwarzaczach Mplayer i Xine
Bezpieczeństwo |
Pon, 12 Marz 2007 11:20:23 +0100 |
Autor:
Redakcja
| Czytań: 3415
Pozostałe wiadomości w kategorii Bezpieczeństwo (2391)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.