Zitat:
aus einem bericht von heise-online:
Durch ein Sicherheitsloch im freien MP3-Player mpg123 kann beliebiger Code zur Ausführung gebracht werden. Das Problem besteht beim Parsen von Frame-Headern in Layer-2-Streams. Angreifer können durch speziell präparierte MP2- oder MP3-Dateien einen Buffer Overflow produzieren und so beliebigen Code ausführen. Yuri D'Elia hat das Sicherheitsproblem entdeckt und gemeldet.
|
kann mir das jemand näher erklären? wie kann es möglich sein, dass durch einen buffer overflow
beliebiger code ausgeführt wird? welchen vorteil soll es haben, wenn ein mp3-abspielprogramm irgendwelchen code ausführt? was bringt mir bzw könnte mir eine solche funktion bringen?
meine erwartungen an ein mp3-abspielprogramm lässt sich ganz einfach beschreiben, nach der formel
Zitat:
|
input --> verarbeitung --> output
|
demnach soll so ein programm lediglich ein input haben (das mp3-file), die verarbeitung ist das decodieren der mp3-daten und die ausgabe ist das hörbarmachen der daten (via soundkarte). da
brauche ich doch keine funktionionalität, die irgendeinen maschinencode ausführt, der im mp3-file versteckt ist.....
gleiches gilt auch für den blödsinn, der auch beim darstellen von jpg-files gemacht wird - weil dort ja auch viren, würmer, trojaner, ... eingschleust werden können!
ist das nicht widersinnig? oder sehe nur ich das so....?