Kritische Lücke im DivX Web Player

Nachdem eine kritische Sicherheitslücke in den älteren DivX-Software-Versionen entdeckt wurde, sollte man sich nun das neuste DivX-Bundle von den Herstellerseiten herunterladen. Der Sicherheitsdienstleister Secunia hatte im DivX Web Player einer älteren Version einen Fehler in der Verarbeitung von Stream-Format-Chunks gefunden. Dieser Fehler lässt sich für Heap Overflows ausnutzen.

Vielleicht kennt nicht jeder den DivX Web Player. Mit diesem Abspielprogramm kann man Filme direkt im Browser anzeigen lassen. Die Technik wird besonders gern für ressourcensparende Streams verwendet. Erst kürzlich habe ich zum Beispiel das Spiel FC Bayern München gegen FC Barcelona über einen offiziellen Stream gesehen.

Der Angreifer konnte durch manipulierte DivX-Dateien oder auch Streams einen besonderen Code auf das System einschleusen und ausführen lassen. Um den Code überhaupt auf seinen Rechner zu bekommeb, genügt schon das Aufrufen einer Webseite, die diesen Web Player voraussetzt. Seit der Version 1.4.3.4 ist der Fehler im Player aber schon wieder behoben. Warum der Fehlerbericht erst jetzt bekannt gegeben wurde, weiß bisher noch keiner, obwohl der Fehler schon seit Mitte März behoben sein soll.