Komoly hiba az egyik legnépszerűbb médialejátszóban

A dán Secunia ismét „felverekedte” magát portálunkra azzal, hogy egy, az ő ötfokozatú skálájukon a legmagasabb veszélyességű szintre emelt biztonsági hibáról adott hírt, ami a közkedvelt nyíltforrású MPEG audiolejátszót, az mpg123-at érinti. A hét közepén nyilvánosságra hozott információk szerint egy speciális feltételeknek megfelelően létrehozott MP2 vagy MP3 állomány révén puffertúlcsordulást lehet előidézni a memóriában, minek következtében a támadónak akár kódfuttatásra is lehetősége nyílik.

Thomas Kristensen, a Secunia CHO-ja a következőképp nyilatkozott a hibáról: „Az mpg123 lehetővé teszi a felhasználók számára, hogy zenét hallgassanak és adatfolyamokat fogadjanak egy szervertől. Amennyiben azonban ez a szerver rosszindulatú szándékok eszköze, akkor a program kiszolgáltathatja a támadónak a rendszert. A szerver tulajdonosa olyan dolgokat valósíthat meg a távoli rendszeren, mint a sajátján.” Például e-mailek küldését a felhasználó kliensével, de akár file-tartalmakat is megváltoztathat. Igaz, Kristensen szerint azért nem olyan könnyű kihasználni a sebezhetőséget.

A Secunia azt javasolja az internetezőknek, hogy használjanak más fejlesztőtől származó lejátszószoftvert, amíg a szükséges patch el nem készül az mpg123-hoz.