Bug 19697

Summary: CVE-2009-1274: xine-lib Quicktime STTS Atom Integer Overflow
Product: Sisyphus Reporter: Vladimir Lettiev <crux>
Component: libxineAssignee: Nobody's working on this, feel free to take it <nobody>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: blocker    
Priority: P3 CC: ldv, shrek
Version: unstableKeywords: security
Hardware: all   
OS: Linux   
URL: http://www.trapkit.de/advisories/TKADV2009-005.txt

Description Vladimir Lettiev 2009-04-21 09:09:47 MSD 
В библиотеке обнаружена ошибка целочисленного переполнения при разборе значения счётчика в STTS atoms. Уязвимость позволяет выполнить произвольный код с правами пользователя, запустивший приложение, использующее эту библиотеку, при проигрывании специально сформированного Quicktime видео-файла.
Upstream выпустил исправление этой ошибки в виде новой версии библиотеки 1.1.16.3.
Comment 1 Valery Inozemtsev 2009-07-29 22:41:35 MSD 
1.1.16.3-alt1