Videolan Client: Sicherheitslücke im ASF-Demuxer
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Videolan Client Sicherheitslücke im ASF-Demuxer

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Anzeige

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.


RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...

Kommentieren



Anzeige

  1. Inhouse Spezialist SAP (m/w)
    ROTA YOKOGAWA GmbH & Co. KG, Wehr am Rhein
  2. Systemadministrator (m/w) Windows
    KDO Personaldienste, Oldenburg
  3. Manager (m/w) Softwareentwicklung
    WTS Group AG Steuerberatungsgesellschaft, Erlangen (Raum Nürnberg)
  4. Manager (m/w) of End User Support Services
    CSM Deutschland GmbH, Bremen

 

Detailsuche


Folgen Sie uns
       


  1. Nocomentator

    Filterkiste blendet Sportkommentare aus

  2. Gameworks

    Nvidia rollt den Rasen aus

  3. Rolling-Release

    Opensuse Factory und Tumbleweed werden zusammengeführt

  4. Project Ara

    Google will nicht nur das Smartphone neu erfinden

  5. Wildstar

    NC Soft entlässt Mitarbeiter

  6. Mozilla

    Einfache Web-Apps auf dem Smartphone erstellen

  7. Civ Beyond Earth Benchmark

    Schneller, ohne Mikroruckler und geringere Latenz mit Mantle

  8. Allview X2 Soul mini

    Sehr dünnes Smartphone im Alu-Gehäuse für 200 Euro

  9. Toybox Turbos

    Codemasters veranstaltet Rennen auf dem Frühstückstisch

  10. Xamarin

    C# dank Mono für die Unreal Engine 4



Haben wir etwas übersehen?

E-Mail an news@golem.de



Aquabook 3: Das wassergekühlte Gaming-Notebook
Aquabook 3
Das wassergekühlte Gaming-Notebook
  1. Nepton 120XL und 240M Cooler Master macht Wasserkühlungen leiser
  2. DCMM 2014 Wenn PC-Gehäuse zu Kunstwerken werden

Merkel auf IT-Gipfel: Netzneutralität wird erst im Glasfasernetz wichtig
Merkel auf IT-Gipfel
Netzneutralität wird erst im Glasfasernetz wichtig
  1. Digitale Verwaltung 2020 E-Mail soll Briefe und Amtsbesuche ersetzen
  2. Digitale Agenda Ein Papier, das alle enttäuscht
  3. Webmail Web.de kritisiert langsame De-Mail-Einführung der Regierung

Hoverboard: Schweben wie Marty McFly
Hoverboard
Schweben wie Marty McFly
  1. Design-Fahrzeuge U-Bahnen in London sollen autonom fahren
  2. Fahrassistenzsystem Volvos virtueller Lkw-Beifahrer soll Unfälle verhindern
  3. Computergrafik US-Forscher modellieren Gesichter in Videos dreidimensional

    •  / 
    Zum Artikel