SKY-net

Компания eEye Digital Security обнаружила почти полтора десятка опасных уязвимостей в распространенных библиотеках обработки аудиофайлов в формате FLAC.

Формат FLAC (Free Lossless Audio Codec), в отличие от других популярных форматов, например, МР3 позволяет сжимать аудиопоток без потерь. Данный формат подходит как для повседневного использования, так и для создания архивов музыкальных произведений. FLAC компилируется на множестве программных платформ, в том числе Linux, Solaris, Windows, BeOS и OS/2.

Обнаруженные специалистами eEye Digital Security дыры теоретически могут использоваться злоумышленниками с целью захвата контроля над удаленным компьютером и последующего выполнения на нем произвольного программного кода. Большая часть выявленных уязвимостей связаны с ошибкой переполнения буфера. Для организации атаки злоумышленникам необходимо вынудить жертву открыть сформированный специальным образом файл в формате FLAC.

Дыры изначально были выявлены в библиотеке libFLAC, входящей в состав продуктов Cog, dBpoweramp, Foobar2000, jetAudio, PhatBox и других. Эти уязвимости уже устранены в версии libFLAC 1.2.1. Однако многие из дыр присутствуют в кодеке с открытым исходным кодом libavcodec, который основан на libFLAC. В результате, как сообщает Heise-Security, потенциально уязвимыми оказываются MPlayer, VLC Media Player, GStreamer, ffdshow, xmms и xine. Пользователям этих продуктов не рекомендуется открывать FLAC-файлы, полученные из сомнительных источников.

security.compulenta.ru

Опубликовано 20.11.2007 12:12 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• VortexBox 1.0 — Linux-дистрибутив для мультимедийного центра
• Представлен Qmmp — мультимедийный плеер на базе Qt
• В Yahoo Messenger устранены критические дыры
• В марте не будет патчей от Microsoft
• Появился эксплойт для дыры в Internet Explorer