QNAP, ffmpeg und VLC mit Sicherheitslücken

(c) sxc.hu
(c) sxc.hu

Angreifbare Soft- und Hardware

Daniel Kottmair
22.09.2009 Zweimal Software, einmal Hardware: Unser heutiger Überblick über kritische Sicherheitslücken.

Der Sicherheitsdienstleister Secunia hat mehrere Schwachstellen im beliebten Multimedia-Framework Ffmpeg entdeckt, das die Basis für die meisten Linux-Mediaplayer stellt. Zahlreiche Fälle von Heap Memory Corruptions und Nullpointer-Dereferenzierungen würden es ermöglichen, mittels speziell präparierter Mediendateien eigenen Code auf dem Zielsystem ausführen zu können, untersucht wurde von Secunia Version 0.5 von Ffmpeg. Einige der Sicherheitslücken sind in den Versionen im aktuellen SVN-Repository schon behoben, der Rest sollte umgehend geschlossen werden.

Das VideoLan-Client-Projekt hat inzwischen Version 1.0.2 veröffentlicht, welche zahlreiche Stack-Overflow-Sicherheitslücken in den AVI-, MP4 und ASF-Demuxern behebt, womit ebenfalls mittels speziell präparierter Mediendateien Code ausgeführt werden könnte. Angreifbar sind alle Versionen bis zurück zu 0.5.0, deshalb wird das Update wird allen Nutzern empfohlen. VLC nutzt unter anderem ebenfalls das ffmpeg-Framework, es geht jedoch nicht klar hervor, ob diese Schwachstellen mit einigen der von Secunia bemängelten deckungsgleich sind. Die Beschreibung klingt allerdings sehr ähnlich.

Auch QNAP, ein beliebter Hersteller von NAS-Festplatten, hat mit Sicherheitslücken zu kämpfen: Wie bekannt wurde, wird ein zweiter Schlüssel für die Festplattenverschlüsselung nur mit äußerst schwachem Schutz im Flash-Speicher hinterlegt, so dass ein Angreifer mit physikalischem oder Netzwerk-Zugriff auf das NAS diesen einfach auslesen und wiederherstellen kann, um vollständigen Zugriff auf eine verschlüsselte Platte zu erlangen. Besonders prekär bei einem als Secure Storage beworbenen Produkt ist, dass es sich hier allem Anschein nach um eine bewusst eingebaute Backdoor handelt, da das Anlegen eines zweiten, nur äußerst schwach geschützten Schlüssels ansonsten keinen Sinn ergibt. QNAP wurde informiert und verspricht für Oktober ein Firmware-Update, welches das Problem beheben soll.

Ähnliche Artikel

Kommentare

Aktuelle Fragen

kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 2 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...
WLan mit altem Notebook funktioniert nicht mehr
Stefan Jahn, 22.08.2017 15:13, 0 Antworten
Ich habe ein altes Compaq-6710b Notebook mit Linux Mint Sonya bei dem WLan neulich noch funktioni...
Würde gerne openstreetmap.de im Tor-Browser benutzen, oder zu gefährlich?
Wimpy *, 21.08.2017 13:24, 2 Antworten
Im Tor-Netzwerk (Tor-Browser) kann ich https://www.openstreetmap.de/karte.html# nicht nutzen....
Samsung VG-KBD1500 - Bluetooth-Tastatur mit Touchpad mit Xubuntu 16.04.2 LTS
Linux- & BSD-UserGroup im Weserbergland, 16.08.2017 19:16, 0 Antworten
Bin grad mit "meinem Latein am Ende" darum hier mal so in den Raum geworfen. Samsung VG-KBD1500 -...