Mar
30
Hallo zusammen,
ich hatte das update der xine-lib Bibliothek schon fast vergessen. Das kam letzte Woche per update. Da ich aber xine eigentlich nicht nutze, habe ich es einfach durchgeklickt. Tja aber jetzt habe ich auch eine bekannte Lücke im System.
Die xine-lib Bibliothek wird auch vom Mplayer und von VLC genutzt. Da ich ein VLC Poweruser bin ist die Lücke bei mir auch aktiv und ich bin in dem Punkt schon verletztlich. Wenn ich von "ich bin verletztlich" spreche, dann meine ich das installierte Ubuntu 7.10. Was macht xine-lib eigentlich? xine-lib ist die sog. engine des xine-Players, darüber hinaus gibt es noch xine-ui(Das Benutzerinterface) und gnome-xine(gnome Unterstützung). In der Fehlerhaften Bibliothek sind alle wesentlichen Teile es programms, also alles was von xine abhängt, zusammengefasst.(Grafik, Hardware, Soundunterstützung, Video,...). Da man ja das Rad nicht mehrmals erfinden muss, nutzt VLC und MPlayer einfach die xine-lib mit. Das ist ein Vorteil von Open Source. Man kann "fremde" Bibliotheken mitnutzen(soweit diese freigegeben sind), und verschenkt so keine Entwicklungsresourcen. Ich finde Open Source ziemlich clever. 
Der Nachteil ist natürlich, dass man auch die Fehler der Bibliothek "mitnutzt" und so seine Software unfreiwillig und meist ohne eigenes Verschulden angreifbar macht. Angreifbar bin ich über manipulierte Datenströme und die kriegt man am einfachsten über eine Untertiteldatei beim ausführen von MPEG-Dateien. Zumindest wenn man Untertitel nutzt. Ich jedenfalls kaum. VLC ist dabei noch für manipulierte MP4-Dateien anfällig. Ich nutze auch das recht selten, so das ich zumindest da auch nicht wirklich gefährdet bin. Ich denke aber auch da das wir nicht lange auf das dementsprechende update warten müssen.
Ich hoffe jetzt aber nicht das dass so eine mächtige Lücke ist, wie im Firefox, als man mit manipulierten Links externe Programme starten konnte.
Der Nachteil ist natürlich, dass man auch die Fehler der Bibliothek "mitnutzt" und so seine Software unfreiwillig und meist ohne eigenes Verschulden angreifbar macht. Angreifbar bin ich über manipulierte Datenströme und die kriegt man am einfachsten über eine Untertiteldatei beim ausführen von MPEG-Dateien. Zumindest wenn man Untertitel nutzt. Ich jedenfalls kaum. VLC ist dabei noch für manipulierte MP4-Dateien anfällig. Ich nutze auch das recht selten, so das ich zumindest da auch nicht wirklich gefährdet bin. Ich denke aber auch da das wir nicht lange auf das dementsprechende update warten müssen.
Ich hoffe jetzt aber nicht das dass so eine mächtige Lücke ist, wie im Firefox, als man mit manipulierten Links externe Programme starten konnte.Viele Grüße
Marcus Radisch
