Dziurawy MPlayer

W MPlayerze, popularnym odtwarzaczu multimedialnym dla systemów linuksowych, wykryto nowe błędy. Dotycza one dystrybucji Gentoo Linux oraz mplayera skompilowanego z obsługą GUI.

Skompilowany z obsługą GUI (graficznym interfejsem użytkownika) program jest podatny na zdalne przepełnienie bufora. Kod GUI zawartego w tej dystrybucji MPlayera zawiera kilka błędów, z których przynajmniej jeden - w funkcji TranslateFilename() - może być wykorzystany do przeprowadzenia ataku na komputer.

Po uruchomieniu przez użytkownika pliku z odpowiednią nazwą atakujący może wykonać dowolny kod z prawami użytkownika uruchamiającego aplikację. Zagrożone są pakiety media-video/mplayer w wersji niższej niż 1.0_pre4-r7. Kolejne wersje zawierają już właściwe poprawki. Jako, że przypadek dotyczy wyłącznie użytkownika uruchamiającego MPlayera, a nie całego systemu, błąd ten uznano za średnio niebezpieczny. Pomimo to zaleca się aktualizację do ostatniej wersji programu.

Więcej informacji:

http://www.gentoo.org/security/en/glsa/glsa-200408-01.xml