Łatanie luki w odtwarzaczach Mplayer i Xine

Łatanie luki w odtwarzaczach Mplayer i Xine

    przez -
    0 181
    Muzyka
    Mandriva opublikowała zaktualizowaną wersję odtwarzacza MPlayer, aby załatać krytyczną lukę w systemach Mandriva 2007 i Mandriva Corporate 3.0. Specjalnie przygotowany materiał wideo mógł spowodować wprowadzenie do peceta i wykonanie zdalnego kodu.

    Ofiara musiała jednak wpierw pobrać oraz uruchomić złośliwy plik. To akurat wydaje się obecnych czasach wysoce prawdopodobne – pobranie i uruchomienie pliku wideo ułatwiają serwisy takie, jak chociażby YouTube. Problem MPlayera dotyczy luki w funkcji DMO_VideoDecoder w module loader/dmo/DMO-VideoDecoder.c. W wyniku tego może wystąpić błąd przepełnienia bufora pozwalający na przepisanie stosu.

    Błąd odnaleziony został w MPlayerze w wersji do 1.0rc1. Inni dystrybutorzy systemów Linux opublikują wkrótce swoje łaty. Opisywana dziura dotyczy również odtwarzacza Xine, który korzysta z tego samego kodu. Nowe pakiety związane z biblioteką xinelib zostały już opublikowane dla Ubuntu. Niestety, użytkownicy tej dystrybucji nie otrzymali jeszcze łat dla MPlayera.

    Użytkownicy Windows muszą poczekać na oficjalną poprawioną wersję. Mogą również własnoręcznie skompilować źródła z CVS.