Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Videolan Client Sicherheitslücke im ASF-Demuxer

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Anzeige

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.


RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...

Kommentieren



Anzeige

  1. Ingenieur (m/w) Telekommunikationstechnik
    EWR GmbH, Remscheid
  2. (Junior) PHP- / Webentwickler (m/w)
    über ACADEMIC WORK, München
  3. Scientific Employees (m/w) for the division Audio & Multimedia
    Fraunhofer-Institut für Integrierte Schaltungen IIS, Erlangen
  4. Mitarbeiter (m/w) für die Stabstelle im Bereich IT-Prozesse
    Hoffmann GmbH Qualitätswerkzeuge, München

Detailsuche


Hardware-Angebote
  1. ARLT-Sale
    (Restposten, Rücksendungen und Gebrauchtware)
  2. NEU: Bis zu 60 € Cashback von MSI
    (2 Produkte müssen gekauft werden - Mainboard + Grafikkarte)
  3. TIPP: Alternate Schnäppchen Outlet
    (täglich neue Deals)

Weitere Angebote


Folgen Sie uns
       


  1. Lenovo Yoga Tab 3 Pro

    10-Zoll-Tablet mit eingebautem 70-Zoll-Projektor

  2. Smartwatches

    Motorola stellt neue Moto 360 und Moto 360 Sport vor

  3. Umfrage

    Jeder vierte Nutzer hat Probleme beim Streaming

  4. Asus GX700

    Übertakter-Notebook läuft mit WaKü und geheimer Nvidia-GPU

  5. Testlauf

    Techniker Krankenkasse zahlt Ärzten Online-Videosprechstunde

  6. Mate S im Hands On

    Huawei präsentiert Smartphone mit Force-Touch-Display

  7. Smartwatch

    Huawei Watch kostet so viel wie Apple Watch

  8. Sonys Xperia-Z5-Modellreihe im Hands on

    Das erste Smartphone mit 4K-Display

  9. Für unterwegs und Homeoffice

    Telekom bietet den neuen Service "One Number"

  10. Copyrightstreit um Happy Birthday

    Kinderlieder gegen Time Warner



Haben wir etwas übersehen?

E-Mail an news@golem.de



Windows 95 im Test: Endlich lange Dateinamen!
Windows 95 im Test
Endlich lange Dateinamen!
  1. Tool Microsoft Snip erzeugt Screenshots mit Animationen und Sprachmemos
  2. Internet Explorer Notfall-Patch für Microsofts Browser
  3. Vor dem Start von Windows 10 Steigender Marktanteil für Windows 7

Honor 7 im Hands on: Neues Honor-Smartphone kommt für 350 Euro nach Deutschland
Honor 7 im Hands on
Neues Honor-Smartphone kommt für 350 Euro nach Deutschland

Game Writer: Warum Quereinsteiger selten gute Storys für Spiele schreiben
Game Writer
Warum Quereinsteiger selten gute Storys für Spiele schreiben
  1. This War of Mine Krieg mit The Little Ones auf Konsole
  2. Swapster Deutsche Börse plant Handelsplattform für Spieler
  3. Ninja Theory Hellblade und eine Heldin mit Trauma

  1. Re: Und Tschüss ....

    lestard | 01:43

  2. Amazon-Prime-Inhalte jetzt für 'alle' herunterladbar

    ruedigerr | 01:43

  3. Re: omg...

    Clarissa1986 | 01:37

  4. Re: Mein 10-jähriges Jubiläum steht an.

    Atalanttore | 01:22

  5. Re: Einen SPORT-Wagen schwerer machen . . .

    SchmuseTigger | 01:18


  1. 22:20

  2. 21:45

  3. 21:17

  4. 18:20

  5. 17:49

  6. 17:43

  7. 17:24

  8. 16:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel