Für den Mumble wurde heute die neue Version 1.2.6 veröffentlicht. Es handelt sich dabei um ein Sicherheitsupdate ohne neue Funktionen.

Lücken

Folgende Lücken werden geschlossen:

  • Mit entsprechend bearbeiteten SVG-Dateien ist es möglich, den Mumble-Clienten bis einschließlich 1.2.5 zum Absturz zu bringen
    Siehe Mumble-SA-2014-005 für Details (Signatur)
  • HTML wird teilweise nicht korrekt verarbeitet
    Siehe Mumble-SA-2014-006 für Details (Signatur)
  • Für die vom Mumble-Projekt ausgelieferten Binärpakete für Windows und Mac OS X behebt das Update auch eine Schwachstelle bezüglich GIF-Dateien
    Siehe CVE-2014-0190 für Details

Mumble-Clienten aktualisieren

Alle Benutzer sollten ihren Mumble-Clienten so schnell wie möglich aktualisieren:

  • Windows- als auch „Mac OS X“-Benutzer können dazu die integrierte Funktion nutzen: In der Menüleiste oben auf „Hilfe“ klicken, dann auf „Auf Updates prüfen“. Es wird der neue Client heruntergeladen und zur Installation angeboten.
    Alternativ kann man sich den neuen Clienten auch direkt herunterladen und über die alte Version installieren:

    • Mumble für Windows herunterladen
    • Mumble für Mac OS X herunterladen

    Bleibt man untätig, so erhält man beim nächsten Start von Mumble eine Aktualisierungsbenachrichtigung, sofern diese Funktion nicht deaktiviert wurde.

    • Linux-Benutzer sollten Ausschau halten nach Updates von den Distributionen selbst. Für Ubuntu-Benutzer gibt es eine aktualisierte Version im PPA des Mumble-Projekts.

Auch Nutzer der Mumble-Snapshots sind betroffen.

Und der Server?

Der Server ist nicht von den Lücken betroffen; da jedoch Client und Server immer dieselbe Version haben, wurde auch der Server auf 1.2.6 aktualisiert.

Dieser Artikel basiert auf dem Englisch-sprachigen Blog-Artikel des Mumble-Projekts, siehe hier.