Angreifbare Soft- und Hardware

(c) sxc.hu
(c) sxc.hu

QNAP, ffmpeg und VLC mit Sicherheitslücken

Daniel Kottmair
22.09.2009 Zweimal Software, einmal Hardware: Unser heutiger Überblick über kritische Sicherheitslücken.

Der Sicherheitsdienstleister Secunia hat mehrere Schwachstellen im beliebten Multimedia-Framework Ffmpeg entdeckt, das die Basis für die meisten Linux-Mediaplayer stellt. Zahlreiche Fälle von Heap Memory Corruptions und Nullpointer-Dereferenzierungen würden es ermöglichen, mittels speziell präparierter Mediendateien eigenen Code auf dem Zielsystem ausführen zu können, untersucht wurde von Secunia Version 0.5 von Ffmpeg. Einige der Sicherheitslücken sind in den Versionen im aktuellen SVN-Repository schon behoben, der Rest sollte umgehend geschlossen werden.

Das VideoLan-Client-Projekt hat inzwischen Version 1.0.2 veröffentlicht, welche zahlreiche Stack-Overflow-Sicherheitslücken in den AVI-, MP4 und ASF-Demuxern behebt, womit ebenfalls mittels speziell präparierter Mediendateien Code ausgeführt werden könnte. Angreifbar sind alle Versionen bis zurück zu 0.5.0, deshalb wird das Update wird allen Nutzern empfohlen. VLC nutzt unter anderem ebenfalls das ffmpeg-Framework, es geht jedoch nicht klar hervor, ob diese Schwachstellen mit einigen der von Secunia bemängelten deckungsgleich sind. Die Beschreibung klingt allerdings sehr ähnlich.

Auch QNAP, ein beliebter Hersteller von NAS-Festplatten, hat mit Sicherheitslücken zu kämpfen: Wie bekannt wurde, wird ein zweiter Schlüssel für die Festplattenverschlüsselung nur mit äußerst schwachem Schutz im Flash-Speicher hinterlegt, so dass ein Angreifer mit physikalischem oder Netzwerk-Zugriff auf das NAS diesen einfach auslesen und wiederherstellen kann, um vollständigen Zugriff auf eine verschlüsselte Platte zu erlangen. Besonders prekär bei einem als Secure Storage beworbenen Produkt ist, dass es sich hier allem Anschein nach um eine bewusst eingebaute Backdoor handelt, da das Anlegen eines zweiten, nur äußerst schwach geschützten Schlüssels ansonsten keinen Sinn ergibt. QNAP wurde informiert und verspricht für Oktober ein Firmware-Update, welches das Problem beheben soll.

Related content

  • Mplayer lernt Multithreading
    Der hoch effiziente Codec H.264 ist insbesondere mit dem High-Profile-Feature CABAC (Arithmetische Codierung) extrem rechenintensiv. So rechenintensiv, dass ältere Rechner es nicht flüssig spielen können..
  • ffmpeg in neuer Version
    Heute wurde die stark verbesserte Version 0.5 von Ffmpeg veröffentlicht, dem Opensource-Video-Framework, das die Basis für beliebte Player wie Mplayer oder VideoLAN-Client liefert.
  • Audio/Video-Framework wird HTML5-fähig
    Besucher des Linuxtags bekamen es schon letzte Woche mit: ffmpeg 0.6 ist endlich da, und neben diversen Verbesserungen fokussieren sich die Macher des Medien-Motors primär auf HTML5-Unterstützung.
  • Linux-Treiber für neuere S3-Grafikchips mit Video- und 3D-Beschleunigung.
    S3 hatte einen Chrome-500-Linux-Treiber für letzten Dezember versprochen. Nun hat der Grafikchip-Veteran endlich sein Versprechen wahr gemacht.
  • Browserdoping
    Dass Firefox der vielseitigste Browser ist, weiss heute jedes Kind. Sein Marktanteil steigt ständig, auch Windows- und Mac-User sind von der Geschwindigkeit, Kompatibilität und Erweiterbarkeit des Feuerfuchses angetan. Aber welche Erweiterungen lohnen wirklich die Installation? Aus dem schier unerschöpflichen Reigen der Firefox-Add-ons präsentieren wir Ihnen die besten zehn.

Kommentare

2066 Hits
Wertung: 102 Punkte (9 Stimmen)

Schlecht Gut

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...