发布日期:2005-04-22
更新日期:2005-04-22
受影响系统:
xine xine-lib 1.0
xine xine-lib 1-rc
xine xine-lib 1-beta
xine xine-lib 1-alpha.
xine xine-lib 0.9
不受影响系统:
xine xine-lib 1.0.1
xine xine-lib 0.9.9之前版本
描述:xine是一款免费的多媒体播放器,支持CD、DVD和VCD。xine的MMS和Real RTSP流客户端存在缓冲区溢出漏洞,攻击者可能以进程权限执行任意指令。
xine的MMS和Real RTSP流客户端代码盲目信任传输的数据,缺少必要的边界检查,因此如果远程攻击者能够诱骗xine客户端打开恶意的媒体文件时,就可能导致堆溢出,以运行应用程序用户的权限执行任意代码。
临时解决方法:如果您不能立刻安装补丁或者升级,建议您采取以下措施以降低威胁:
* 从xine-lib插件目录中删除xineplug_inp_mms.so和xineplug_inp_rtsp.so文件。
厂商补丁:xine已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载。(T114)
