Sicherheitsforscher haben eine schwerwiegende Schwachstelle bei der Codeausführung in der LIVE555 Streaming Media Library entdeckt. Diese Bibliothek wird von gängigen Medienplayern wie VLC und MPlayer sowie einer Reihe von Embedded-Geräten in bestimmten Funktionen zum Streaming von Medien verwendet.
Ich bin bei The Hacker News auf diesen Artikel zum Thema aufmerksam geworden. Die LIVE555 Streaming Media Library wird von Live Networks entwickelt.
LIVE555 Streaming-Medienbibliothek
Die LIVE555 Streaming-Medienbibliotheken unterstützen das Streamen, Empfangen und Verarbeiten verschiedener Videoformate wie MPEG, H.265, H.264, H.263+, VP8, DV und JPEG-Video sowie verschiedener Audio-Codecs wie MPEG, AAC, AMR, AC-3 und Vorbis. Das Paket besteht aus einer Reihe von C++-Bibliotheken, die Entwickler in Produkte einbauen, um Multimedia über offene Standardprotokolle wie RTP/RTCP, RTSP oder SIP zu streamen.
Schwachstelle CVE-2018-4013 gefunden
Der Sicherheitsforscher Lilith Wyatt von der Cisco Talos Intelligence Group hat nun eine Schwachstelle CVE-2018-4013 bei der Codeausführung entdeckt und in diesem Blog-Beitrag beschrieben. Die Schwachstelle steckt in der Funktion, die HTTP-Header für das Tunneling von RTSP über HTTP analysiert. Ein Angreifer kann ein Paket erstellen, das mehrere Zeichenketten "Accept:" oder "x-sessioncookie" enthält, die in der Funktion "lookForHeader" einen Stack-Überlauf (stack buffer overflow) verursachen können.
Ein Patch ist verfügbar
Die Schwachstelle wurde in Live Networks LIVE555 Media Server, Version 0.92, bestätigt, kann aber auch in der früheren Version des Produkts vorhanden sein. Live Networks hat wohl am 17. Oktober 2018 einen Patch veröffentlicht, der dieses Problem fixt. Problem ist aber, dass die Bibliothek in Produkten steckt, so dass deren Entwickler ein Update bereitstellen müssen. VLC Player selbst ist in der aktuellen Version 3.0.4 nicht betroffen.
MVP: 2013 – 2016
