Thema: VLC Media Player / MPlayer

[SiLæncer]

Die Entwickler des freien Mediaplayer MPlayer weisen auf zwei kritische Sicherheitslücken hin, die in der neuesten Version 1.0pre7, Codename "PatentCounter", geschlossen sind. Ein Angreifer kann die Lücken ausnutzen, um eigenen Code im Kontext des am Rechner angemeldeten Nutzers auszuführen. Ursache sind Fehler beim Empfang von MMST- und RTSP-Streaming-Daten. Hierzu muss ein Angreifer allerdings einen Server präpariert haben und falsche Daten senden.

Die Lücke im RSTP-Streaming soll laut Advisory nur schwer auszunutzen sein, für beide Schwachstellen habe man auch noch keine Exploits registriert. Gentoo hat bereits neue Pakete veröffentlicht, in der die Probleme behoben sind. Allerdings ist der MPlayer nicht in jeder Distribution enthalten, sodass nicht jeder Hersteller neue Pakete herausgeben dürfte.

Da MPlayer und xine auf der gleichen Codebasis beruhen, sind die Fehler wahrscheinlich auch in xine zu finden. Auf den Seiten von xinehq ist bislang aber noch kein Hinweis zu finden.

Quelle und Links : http://www.heise.de/newsticker/meldung/58774

[SiLæncer]

Der mächtige Universal-Media-Player MPlayer stolpert über präparierte Tonspur-Header. Ein Pufferüberlauf beim Auswerten der strf-Variable (Stream Format Chunk: Identifizierer für das verwendete Audioformat) im Header eines AVI-File lässt das Ausführen von eingeschleustem Code zu.

Sven Tantau beschreibt die Lücke in einem Advisory. Zum Ausnutzen der Lücke müsste ein Angreifer Benutzer zum Öffnen von präparierten Dateien bewegen. Dies könnte etwa durch Dateianhänge in E-Mails geschehen, aber auch durch manipulierte Videos in Tauschbörsen -- ebenso wie bei MP3s rechnet der Normalanwender nicht damit, dass beispielsweise eine AVI-Datei seinem System gefährlich werden könnte.

Betroffen sind MPlayer-Versionen bis zum aktuellen 1.0_pre7. Auf der MPlayer-Website ist noch kein Patch verfügbar. Benutzer der Software sollten nach aktualisierten Paketen Ausschau halten und diese bei Verfügbarkeit umgehend einspielen.

Quelle und Links : http://www.heise.de/newsticker/meldung/63207

[SiLæncer]

Auf der Mailing-Liste Full-Disclosure wurden Details zu zwei Sicherheitslecks im freien Medien-Player MPlayer veröffentlicht. Dabei handele es sich um Integer-Überläufe in den Funktionen zur Bearbeitung von AVI- und ASF-Headern in der Hauptbibliothek libmpdemux, die sich um die Verteilung der Datenpakete an die einzelnen Codecs kümmert. Nach Einschätzung der Entdecker von Xfocus kommt es bei der Verarbeitung manipulierter AVI-Dateien oder ASF-Streams zu einem Buffer-Overflow auf dem Heap, der sich zum Einschleusen von beliebigem Schadcode nutzen lassen könnte.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Nach der kritischen Lücke in Apples Quicktime folgt im Rahmen des Month of Apple Bugs (MOAB) nun eine kritische Lücke im alternativen VLC Media Player. Betroffen ist unter anderem Apples Betriebssystem Mac OS X. Zwar tritt der Fehler auch auf anderen Plattformen auf, zumindest wurde die Schwachstelle auch für Windows bestätigt; aber darum geht es den Initiatoren nicht, vielmehr wollen sie zeigen, dass Mac OS X und dafür entwickelte Anwendungen nicht per se von kritischen Sicherheitslecks ausgeschlossen sind.

Die nun bekannt gemachte Lücke resultiert aus einer Format-String-Schwachstelle bei der Verarbeitung der URI udp://. Durch Angabe einer speziellen Zeichenkette lässt sich Code einschleusen und mit den Rechten des angemeldeten Nutzers ausführen. Zuvor muss das Opfer jedoch die präparierte URL an den VLC Media Player übergeben, je nach Konfiguration des Systems kann dazu schon ein Klick auf einen Link oder der Aufruf einer Playlist genügen. Die Entdecker der Lücke haben Exploits in Perl zur Verfügung gestellt, die auf der PPC- und der x86-Plattform für Mac OS X demonstrieren sollen, wie einfach sich die Rücksprungadresse auf dem Stack verbiegen lässt.

Betroffen ist VLC 0.8.6, wahrscheinlich auch vorherige Versionen und weitere Betriebssysteme. Ein Patch gibt es derzeit nicht. Als Workaround schlägt der Fehlerbericht zur Lücke vor, den udp://-URL-Handler zu deaktivieren oder VLC zu deinstallieren.

Siehe dazu auch:

    * VLC Media Player udp:// Format String Vulnerability, Fehlerbericht auf MOAB

Quelle und Links : http://www.heise.de/security/news/meldung/83116

[SiLæncer]

Der Sicherheitsdienstleister Secunia hat zwei Lücken im Medienspieler MPlayer gemeldet, mit denen sich ein Anwender-PC kompromittieren lassen soll. Möglich wird dies durch Fehler in der Verarbeitung von CDDB-Daten. Nimmt ein Anwender Kontakt zu einem präparierten CDDB-Server auf, so lassen sich durch manipulierte CDDB-Einträge mit zu langen Alben- oder Kategorie-Titeln Buffer Overflows im Modul stream/stream_cddb.c provozieren, über die sich Schadcode auf einen Rechner schleusen und im Kontext des Anwenders starten lässt.

Die Fehler wurden in MPlayer 1.0rc1 gefunden, vorherige Versionen sind sehr wahrscheinlich ebenfalls betroffen. Ein Patch behebt das Problem. Zudem steht im Subversion-Respository Version 1.0rc1try3 bereit, in der die Fehler ebenfalls behoben sind. Anwender müssen sich die neue Version selbst übersetzen, eine Binär-Version steht noch nicht bereit. Alternativ empfehlen die Entwickler CDDB nicht mehr zu benutzen, freedb.freedb.org über die hosts-Datei statisch auf die IP-Adresse 127.0.0.1 umzuleiten oder MPlayer mit der Option --disable-cddb ohne CDDB-Unterstützung zu übersetzen.

Siehe dazu auch:

    * MPlayer 1.0rc1try3 released, Ankündigung auf der MPlayer-Mailing-Liste
    * MPlayer CDDB Parsing Buffer Overflows, Fehlerbericht von Secunia

Quelle und Links : http://www.heise.de/security/news/meldung/90765

[SiLæncer]

Die Entwickler des quelloffenen VLC-Media-Player (VLC) haben die Version 0.8.6c veröffentlicht, die einige Sicherheitslücken beim Abspielen präparierter Mediendateien schließt. In einer Sicherheitsmeldung erläutern sie, dass die Unterstützungsmodule für die Formate Ogg Vorbis und Theora, CD Digital Audio (CDDA) und für das Service Announce Protocol (SAP) so genannte Format-String-Schwachstellen enthalten.

Dadurch können manipulierte .ogg/.ogm-Dateien, präparierte CDDB-Einträge und beispielsweise Netzwerkpakete im Service-Announce/Discovery-Protokoll an die Broadcast-Adresse eines lokalen Netzes schädlichen Programmcode einschleusen, der mit den Rechten des Anwenders zur Ausführung kommt. Die VLC-Programmierer stufen die Lücken daher als kritisch ein und empfehlen, die installierte Version auf die aktuelle Fassung 0.8.6c zu aktualisieren.

Siehe dazu auch:

    * Download der aktuellen VLC-Version für verschiedene Plattformen
    * Format string injection in Vorbis, Theora, SAP and CDDA plugins, Sicherheitsmeldung der VLC-Entwickler

Quelle und Links : http://www.heise.de/security/news/meldung/91446

[SiLæncer]

Die Code Audit Labs haben eine Sicherheitsmeldung veröffentlicht, der zufolge der Media Player Classic und MPlayer beim Verarbeiten von manipulierten avi-Dateien patzen und Angreifer dadurch fremden Code einschleusen und ausführen könnten. Aktualisierte Software-Versionen gibt es bislang nicht.

Laut der Sicherheitsmeldung haben die Code Audit Labs avi-Dateien mit manipulierten Index-Chunks ausgestattet. Im avi-Containerformat dienen solche optionalen Index-Chunks dazu, einen Index der Daten-Chunks der avi-Datei bereitzustellen – es handelt sich quasi um ein Inhaltsverzeichnis. Die in so einem Index-Chunk gespeichert Werte überprüfen die betroffenen Media-Player offenbar nicht korrekt, wodurch beim Abspielen von sorgsam präparierten avi-Dateien eingeschleuster Schadcode zur Ausführung kommen kann. Laut Sicherheitsmeldung soll dabei ein Pufferüberlauf auf dem Heap auftreten, im Media Player Classic soll darüber hinaus ein Integer-Überlauf möglich sein.

Dem eigenen Bekunden nach haben die Sicherheitsforscher die MPlayer-Entwickler bereits Ende Juli über die Lücke informiert und auch eine Antwort erhalten. Dennoch ist keine neue Version von MPlayer verfügbar, im Versionsverwaltungssystem der Entwickler findet sich auch kein Hinweis auf einen Quellcode-Patch. Der Media Player Classic (MPC), der etwa auch bei der Verarbeitung von FLI-Dateien eingschleusten Code ausführen kann, wird offenbar nicht mehr weiterentwickelt; auf den Sourceforge-Projektseiten stehen immer noch die alten Versionen der Software zum Download bereit. Die Schwachstelle betrifft auch auf MPC basierende Player wie die chinesischen MyMPC oder StormPlayer. Nutzer solcher Programme sollten nach aktualisierten Versionen Ausschau halten, da deren Entwickler im Gegensatz zu Gabest möglicherweise noch aktiv sind.

Beim Media Player Classic können Anwender in den Optionen den verwendeten avi-Parser von intern auf den von Microsoft beim Betriebssystem mitgelieferten Parser umstellen, der die Schwachstellen den Tests der Code Audit Labs zufolge nicht enthält. MPlayer-Nutzer sollten bis zur Verfügbarkeit einer gepatchten Version avi-Dateien aus nicht vertrauenswürdigen Quellen wie P2P-Netzen meiden oder mit anderen Media-Playern abspielen. Ob die Option mplayer -demuxer lavf Abhilfe schafft, durch die MPlayer den libavcodec-avi-Demultiplexer nutzt, ist unbekannt.

Siehe dazu auch:

    * Multiple vendor produce handling AVI file vulnerabilities, Sicherheitsmeldung der Code Audit Labs
    * Download der aktuellen MPlayer-Version

Quelle und Links : http://www.heise.de/security/news/meldung/95940/Codeschmuggel-durch-avi-Dateien-in-Media-Player-Classic-und-MPlayer

[SiLæncer]

Eine neue Version des VLC Mediaplayer schließt eine kritische Lücke in der Windows-Version. Der Fehler findet sich im ActiveX-Control (axvlc.dll) für den Internet Explorer. Aufgrund der unzureichenden Überprüfung übergebener Parameter kann eine bösartige Webseite Speicherbereiche überschreiben und so möglicherweise Code einschleusen und ausführen.

Betroffen sind die Versionen 0.8.6 bis einschließlich 0.8.6c. Versionen vor 0.8.6 sind nicht verwundbar. In Version 0.8.6d ist der Fehler beseitigt, vorkompilierte Binaries stehen auf den VLC-Seiten bereits zum Download bereit. Alternativ können Anwender auch auf Mozilla-basierende Browser wie Firefox und Seamonkey umsteigen und das VLC-Plug-in dafür nutzen.

Siehe dazu auch:

    * Recursive plugin release vulnerability in Active X plugin, Fehlerbericht von VLC
    * VLC Activex Bad Pointer Initialization Vulnerability, Fehlerbericht von Core Security

Quelle und Links : http://www.heise.de/newsticker/meldung/100050

[SiLæncer]

Ein kürzlich veröffentlichter Exploit für einen Media-Codec der Firma 3ivx ermöglicht das Ausführen von beliebigem Code. Betroffen sind nicht nur alte Versionen des Windows Media Players, sondern auch WinAmp.

Das Sicherheitsunternehmen Symantec warnt vor einer Sicherheitslücke in einem Codec von 3ivx Technologies für MP4-Dateien. Anfällig für Angriffe mit speziell präparierten Dateien dieses Typs ist etwa der Windows Media Player 6.4, der mit Windows 95, 98 und NT ausgeliefert wurde. Aber auch neuere Versionen sind angreifbar, wenn der anfällige Codec installiert ist, ebenso der Media Player Classic (MPC) sowie WinAmp 5.32 von Nullsoft, warnt Raymond Ball von Symantec. Die aktuelle WinAmp-Version 5.5 sei hingegen nicht betroffen.

Alte, anfällige Versionen des Windows Media Players können auch auf neueren Systemen noch vorhanden sein, etwa als "mplayer2.exe" im Ordner "Programme\Windows Media Player". Ein Sicherheits-Update für die betroffenen Media Player gibt es derzeit nicht. Microsoft hätte zwar gestern im Rahmen des Patch Day die Gelegenheit gehabt einen solchen für den Windows Media Player bereit zu stellen, hat diese Chance jedoch allem Anschein nach nicht genutzt. Die neueste verfügbare Version 5.0.1 des 3ivx-Codecs ist ebenfalls angreifbar.
Als Vorsichtsmaßnahme sollte der MP4-Codec von 3ivx bis zur Verfügbarkeit eines Updates entfernt oder betroffene Media Player deaktiviert werden (Alternative: VLC Player 0.8.6d). Bei der Suche nach dem anfälligen MP4-Codec kann die Software "Codec Sniper" hilfreich sein, die alle installierten Codecs auflistet und das gezielte Löschen eines Codec ermöglicht. Er kann etwa als "3ivx MPEG-4 5.0.x DirectShow Video Decoder" (x: 0; 1), Dateiname "3ivxDSVideoDecoder.ax", in der Liste erscheinen.

Quelle : www.pcwelt.de

[SiLæncer]

Im unter anderem für Linux, Mac OS und Windows erhältlichen VLC Mediaplayer wurden zwei als kritisch eingestufte Sicherheitslücken gefunden. Eine der beiden ist bereits seit dem Sommer bekannt und lässt sich bei der Wiedergabe von Daten mit VLC ausnutzen; über die zweite Lücke kann ein Angreifer von einem anderen System aus VLC unter seine Kontrolle bringen.

Bei der ersten Lücke handelt es sich um einen Buffer Overflow bei der Verarbeitung der Untertitel. Auf dieses Problem waren die Entwickler bereits Ende Juni aufmerksam gemacht worden und hatten es im Quellcodeverwaltungssystem alsbald korrigiert. Aber nur in der Entwicklungslinie, aus der irgendwann ein VLC mit einer Versionsnummern jenseits von 0.8.6 hervorgeht, und nicht in den 0.8.6 Entwicklungslinie -- auf dieser basieren aber alle in den vergangenen Monaten freigegebenen neuen Versionen, daher fehlt die Korrektur auch im erst Anfang dieses Monats freigegebenen Sicherheitsupdate 0.8.6d.

Der laut dem Fehlerbericht in der Standardeinstellung laufende Mini-Web-Server zur Kontrolle von VLC über den Webbrowser eines anderen Rechners ist für die zweite Lücke verantwortlich; der Code zur Kontrolle der Übertragungsparameter übergibt die vom Client gesendeten Daten ohne eine ausreichende Prüfung an eine andere Funktion weiter (format string in the web interface). Dadurch ist es möglich, Schadcode in den Speicher zu schreiben und zu starten. Dass der Server nach Ausführen dieser Funktion noch einige von ihr zurückgelieferte Informationen an den Client zurück gibt, kann einem Angreifer die Arbeit beim Ausnutzen der Lücke noch Erleichtern.

Auch dieser Fehler wurde im VLC-Quellcodeverwaltungsystem behoben. Eine neue Version, die diese Lücken korrigiert, ist allerdings noch nicht erhältlich. Die Entwickler erwägen gerade im Rahmen einer Diskussion um ein weiteres potentielles Sicherheitsproblem die Veröffentlichung einer Version 0.8.6e Anfang Januar.

Quelle : www.heise.de

[SiLæncer]

Anwender des freien Mediaplayers MPlayer können schon mal den Compiler warmlaufen lassen, denn es gilt, die Quellen nebst drei Sicherheits-Patches neu zu übersetzen. Andernfalls laufen Anwender Gefahr, dass ein Angreifer über Lücken in MPlayer ein System kompromittieren kann. Ursache der Probleme sind ein Buffer Overflow in der Funktion url_escape_string der Datei stream/url.c beim Verarbeiten bestimmter URLs.

Zudem tritt beim Parsen präparierter MOV-Dateien ein Array-Indexing-Fehler in der Funktion mov_build_index der Datei libmpdemux/demux_mov.c auf. Darüber hinaus können Kommentare in FLAC-Dateien ebenfalls einen Buffer Overflow in get_flac_metadata (libmpdemux/demux_audio.c) provozieren. Schließlich findet sich noch ein Pufferüberlauf im Code zur Auswertung der Antworten von CDDB-Servern. Betroffen sind die Version 1.0rc2 und frühere Fassungen. Sofern die Quellen aus dem Subversion-Repository stammen, reicht auch ein Update (svn up), statt die Patches einzeln zu installieren.

Siehe dazu auch:

    * Fehlerberichte und Patches, auf MPlayerhq.hu
    * MPlayer arbitrary pointer dereference, Fehlerbericht von CORE Security
    * MPlayer 1.0rc2 buffer overflow vulnerability, Fehlerbericht von CORE Security

Quelle : http://www.heise.de/newsticker/meldung/103024

[SiLæncer]

Eine Schwachstelle in der Windows-Version des VLC media player lässt sich nach Angaben des Sicherheitsdienstleisters Secunia möglicherweise ausnutzen, um ein System zu kompromittieren. Dazu muss ein Angreifer ein Opfer dazu bringen, eine Playlist-Datei mit einer zu langen smb://-URI zu öffnen. Ursache des Problems ist ein Buffer Overflow in der Funktion Win32AddConnection in modules/access/smb.c.

Der Fehler wurde in der Version 0.9.9 entdeckt, andere Versionen enthalten den Fehler wahrscheinlich ebenfalls. Die VLC-Entwickler haben ihn im git-Repository zwar bereits behoben, bezeichnen ihn aber nur als DoS-Schwachstelle, der zum Absturz des Players führt. Offiziell steht weiterhin nur die Version 0.9.9 als Quellcode und als Binärpaket für Windows und Mac OS X zum Download bereit.

Siehe dazu auch:

    * Fix a segfault (buffer overflow for win32 only)
    * VLC Media Player SMB Input Module Buffer Overflow Vulnerability

Quelle : www.heise.de

[SiLæncer]

In den populären Mediaplayer Anwendungen MPlayer und VLC Player existiert eine hochkritische Sicherheitslücke, über die Angreifer Schadcode einspeisen können.

Laut einer Meldung von Security Focus tritt die Sicherheitslücke in allen aktuellen Versionen von MPlayer (bis 1.0rc2) und VLC Player (bis 1.0.0) auf. Die Schwachstelle wird nicht im Detail beschrieben. Sie soll durch die mangelhafte Überprüfung von Benutzereingaben (über Mediendateien) entstehen. Ein öffentlicher Exploit ist bislang nicht bekannt. Es wird empfohlen, keine Dateien aus unbekannter Herkunft über die beiden Player abzuspielen.


Die Sicherheitslücke wurde im CVS Repository von VLC Player bereits behoben und wird in die nächste Release integriert. Für MPlayer existiert ein manueller Patch, der in den Quellkode eingearbeitet werden muss.

Quelle : http://www.tecchannel.de


Siehe auch hier : VLC Media Player 1.0.1 erschienen

[SiLæncer]

Die Entwickler des VLC media player haben die Version 1.0.2 veröffentlicht, die mehrere kritische Sicherheitslücken schließt. So lassen sich in den Demuxer-Plug-ins für MP4, ABVI und ASF mit präparierten Mediadateien Buffer Overflows provozieren und darüber Code einschleusen und starten. Neben dem Update stehen auch Patches im Repository bereit. Alternativ schlagen die Entwickler als Workaround vor, die betroffenen Plug-ins libmp4_plugin.*, libavi_plugin.* und libasf_plugin.* manuell im Installationsverzeichnis zu löschen – ohne das AVI Plug-in dürfte jedoch bei den meisten Anwendern kaum Freude aufkommen.

Darüber hinaus hat der Sicherheitsdienstleister Secunia auf mehrere Schwachstellen in FFmpeg, einer freien Tool- und Bibliothekssammlung zum Verarbeiten digitaler Video- und Audiodaten hingewiesen. Unter anderem nutzen VLC sowie MPlayer und xine die Sammlung. Die Fehler reichen von Null-Pointer-Dereferenzierungen und Speicherfehlern bis hin zu Heap Overflows in verschiedenen Funktionen zu Verarbeitungen diverser Medienformate. Angreifer können die Lücken ausnutzen, um ein System zum Absturz zu bringen oder zu kompromittieren. Laut Bericht sind die Fehler in der offiziellen Version 0.5 zu finden, einige der Fehler sollen aber bereits im Repository beseitigt sein.

Quelle : www.heise.de

[SiLæncer]

Virtual Security Research (VSR) hat im VLC Media Player eine Schwachstelle ausgemacht. Im VLC Media Player bis Version 1.1.5 kann über präparierte Dateien Code eingeschleust werden, die im Demultiplexer einen Pufferüberlauf verursachen. Anwender müssen dazu explizit die präparierte Datei öffnen. Bis Patches für die Player-Versionen erscheinen, sollten Anwender deshalb keine Files aus unbekannten Quellen öffnen. Der VLC Media Player 1.1.6 soll den Fehler beheben, für Windows bietet Videolan diese Version bislang allerdings noch nicht an.

Quelle : www.heise.de