VulDB: Xvid bis 1.1.3 Pufferüberlauf beim Parsen von AVI Dateien
Allgemein
scipID: 3143
Betroffen: Xvid bis 1.1.3
Veröffentlicht: 20.06.2007 (Trixter Jack)
Risiko: 
kritisch
Beschreibung
Xvid (gesprochen wie ikswid) ist ein Open-Source-MPEG-4-Video-Codec, der ursprünglich auf dem OpenDivX-Quelltext basierte. Der zugrunde liegende Quellcode von OpenDivX stammte wiederum aus der MPEG-4-Referenzimplementierung des EU-Projekts MoMuSys. Das Xvid-Projekt wurde von mehreren freiwilligen Programmierern gestartet, nachdem der Quellcode von OpenDivX geschlossen wurde. Auch der Name des Projekts ist eine Anspielung darauf (‘XviD’ ist ‘DivX’ rückwärts). Durch den unverschlüsselt veröffentlichten Quelltext von OpenDivX bekamen die Programmierer nun die Möglichkeit, den Codec in den grundlegenden Eigenschaften zu verändern und zu optimieren. Zusammen mit DivX und Nero Digital ist dieser Codec der bekannteste MPEG-4-Encoder. Trixter Jack beschreibt in einem Advisory einen Indexierungsfehler der Prozedur get_intra_block(), wodurch unter Umständen durch ein manipuliertes AVI File beliebiger Code zur Ausführung gebracht werden kann. Weiterhin sind ebenfalls die Funktionen "get_inter_block_h263()" und "get_inter_block_mpeg()" betroffen.
Und wieder einmal weist ein Codec entscheidende Schwachstellen auf, über die sich die Autoren von Malware in P2P Applikationen durchaus freuen werden. Da die Schwachstelle es einem Angreifer erlaubt, Code beim blossen Öffnen eines Videos zur Ausführung zu bringen, empfiehlt sich ein baldmögliches Updates des entsprechenden Codecs.
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 25867
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: http://cvs.xvid.org/cvs/viewvc.cgi/xvidcore/src/bitstream/mbcoding.c?r1=1.54&r2=1.55
Massnahme: Ein Upgrade auf die aktuellste Software-Version durchführen.
Link: http://www.xvid.org/News.64.0.html?&cHash=1a2bdeb89d&tx_ttnews[backPid]=64&tx_ttnews[tt_news]=4
Snort: –
Pattern: –
Quellen
Advisory: http://www.xvid.org/News.64.0.html?&cHash=1a2bdeb89d&tx_ttnews[backPid]=64&tx_ttnews[tt_news]=4=64&tx_ttnews[tt_news]=4
CVE: CVE-2007-3329
OSVDB: 37728
Securityfocus: 24561
Secunia: 26353
X-Force: 34949
Securitytracker: –
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: smSS 19. Juli 2007
Buchtipp: Marc Ruef (2007), Die Kunst des Penetration Testing, C&L Verlag, ISBN 3936546495 (amazon.de)
