Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

libquicktime <= 1.2.4 Betroffene Plattformen: openSUSE Leap 42.1 openSUSE Leap 42.2 Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe einer speziell präparierten Mediendatei des Typs 'MP4' einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe gegen libquicktime und mit der Bibliothek verknüpfte Anwendungen ausführen. Der Hersteller wurde über die Schwachstelle in libquicktime 1.2.4 und früheren Versionen informiert, stellt aber noch keine Sicherheitsupdates zur Verfügung. Für openSUSE Leap 42.1 und 42.2 stehen Sicherheitsupdates bereit. Patch: openSUSE Security Update openSUSE-SU-2017:0552-1 http://lists.opensuse.org/opensuse-updates/2017-02/msg00102.html

CVE-2016-2399: Schwachstelle in libquicktime ermöglicht
Denial-of-Service-Angriff

Durch die Verwendung eines bestimmten Ganzzahltyps für die Variable ‘len’
kann es in der Funktion ‘quicktime_read_pascal’ bei der Verarbeitung von
Mediendateien des Typs ‘MP4’ zu einem Ganzzahlüberlauf (Integer Overflow)
kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0329/

Schwachstelle CVE-2016-2399 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2399

openSUSE Security Update openSUSE-SU-2017:0552-1:
http://lists.opensuse.org/opensuse-updates/2017-02/msg00102.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.