Der quelloffene Video-Codec OpenH264 ist von einer gravierenden Sicherheitslücke betroffen. Angreifer können sie missbrauchen, um Opfern Schadcode unterzuschieben.

Anzeige

Im Github-Projekt hat Cisco eine Sicherheitsmitteilung dazu veröffentlicht und erörtert darin Details. Angreifer aus dem Netz können ohne vorherige Authentifizierung einen Heap-basierten Pufferüberlauf provozieren. Das geht auf eine Race-Condition bei der Verarbeitung von Videoströmen zurück. Das können Angreifer mit einem sorgsam präparierten Bitstrom – also einer manipulierten Video-Datei – missbrauchen, zu dessen Anzeige sie Opfer lediglich verleiten müssen, um "einen unerwarteten Absturz im Decoding-Client des Opfers auszulösen, und möglicherweise beliebigen Befehle auf dem Rechner des Opfers durch Missbrauch des Überlaufs auszuführen" (CVE-2025-27091, CVSS 8.6, Risiko "hoch").

OpenH264 unterstützt Scalable Video Coding (SVC), bei dem Videos mit mehreren Bitraten codiert werden, und den Modus Advanced Video Coding (AVC) für die einzelnen Videoströme. Die Schwachstelle tritt in beiden Modi auf.

Die Schwachstelle betrifft OpenH264 in Version 2.5.0 und älter. Auf Github steht inzwischen Version 2.6.0 bereit, die die Sicherheitslücke nicht mehr enthält.

Der Webbrowser Firefox bringt als Fall-Back-Lösung Ciscos OpenH264 seit der Version Firefox 33 – erschienen im Jahr 2014 – mit. Die Mozilla-Stiftung erklärt in einem Support-Beitrag, dass der Codec im Browser dazu dient, auch dann WebRTC-Ströme wie Videoanrufe zu ermöglichen, wenn im Betriebssystem kein H264-Codec verfügbar ist. Als Beispiele nennt Mozilla die Windows-N-Versionen, die ohne derartige Codecs daherkommen, oder Linux-Distributionen wie Ubuntu, die solche Codecs erst aus spezielleren Repositories wie "ubuntu-restricted-extras" nachinstallieren müssen.

Firefox hat OpenH264 an Bord Firefox hat OpenH264 an Bord

Firefox bringt OpenH264 in einer verwundbaren Version mit.

(Bild: Screenshot / dmk)

Im Einstellungsmenü findet sich unter "Add-ons und Themes" der Menüpunkt "Plugins". Der Klick auf "OpenH264" ermöglicht Einstellungen und zeigt die aktuell mitgelieferte Version an. Derzeit ist in Firefox 135.0.1 die OpenH264-Version 2.3.2 an Bord, aus dem Juli 2023. Durch Klick auf die drei Punkte rechts von der "OpenH264"-Überschrift können Interessierte jedoch die Option auf "Nie aktivieren" umstellen, bis eine fehlerbereinigte, nicht anfällige Bibliotheksversion für Firefox ausgeliefert wird.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Original Link
(Ursprünglich geschrieben von Heise)