2018-2229: MKVToolNix MKVINFO: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2018-11-01 13:37)

Neues Advisory

Version 2 (2018-11-05 11:23)

Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Paketes 'mkvtoolnix-28.2.0-1.el7' im Status 'testing' zur Behebung der Schwachstelle zur Verfügung.

Version 3 (2018-11-21 10:54)

Für openSUSE Leap 42.3 und 15.0 sowie für openSUSE Backports SLE 15 stehen Sicherheitsupdates für 'libmatroska' und 'mkvtoolnix' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Office

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in MKVToolNix ausnutzen, indem er einen Benutzer der Software zur Verarbeitung einer speziell präparierten MKV-Datei mit 'MKVINFO' verleitet. Der Angreifer kann dadurch beliebigen Programmcode mit den Rechten des Benutzers zur Ausführung bringen.

Für Fedora 27, 28 und 29 stehen Sicherheitsupdates im Status 'testing' bereit, mit denen die Software auf Version 28.2.0 aktualisiert wird.

Schwachstellen:

CVE-2018-4022

Schwachstelle in MKVToolNix ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.