Abo
  • Services:
Anzeige
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Videolan Client: Sicherheitslücke im ASF-Demuxer

Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Anzeige

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.


eye home zur Startseite
RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...



Anzeige

Stellenmarkt
  1. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen
  2. T-Systems International GmbH, Berlin, Bonn
  3. Deutsche Telekom AG, Darmstadt, Bonn
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Hardware-Angebote
  1. (u. a. Zotac GTX 1060 AMP 319,90€, Gigabyte Geforce GTX 1070 OC Windforce 414,90€, GTX 1080 G1...
  2. 329.99$

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Nach Hack

    US-Börsenaufsicht ermittelt gegen Yahoo

  2. Prozessoren

    Termin für Kaby Lake-X und Details zu den Kaby-Lake-Xeons

  3. Ex-Cyanogenmod

    LineageOS startet mit fünf unterstützten Smartphones

  4. Torment - Tides of Numenera angespielt

    Der schnellste Respawn aller Zeiten

  5. Samsung zum Galaxy Note 7

    Schuld waren die Akkus

  6. Automute

    Stummschalten beim Ausstöpseln der Kopfhörer

  7. Neue Hardwaregeneration

    Tesla-Autopilot 2.0 nur bis 72 km/h aktiv

  8. Digitale Assistenten

    LG hat für das G6 mit Google und Amazon verhandelt

  9. Instant Tethering

    Googles automatischer WLAN-Hotspot

  10. 5G-Mobilfunk

    Netzbetreiber erhalten Hilfe bei Suche nach Funkmastplätzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Donald Trump: Ein unsicherer Deal für die IT-Branche
Donald Trump
Ein unsicherer Deal für die IT-Branche
  1. USA Amazon will 100.000 neue Vollzeitstellen schaffen
  2. Trump auf Pressekonferenz "Die USA werden von jedem gehackt"
  3. US-Wahl US-Geheimdienste warnten Trump vor Erpressung durch Russland

Begnadigung: Danke, Chelsea Manning!
Begnadigung
Danke, Chelsea Manning!
  1. Verwirrung Assange will nicht in die USA - oder doch?
  2. Nach Begnadigung Mannings Assange weiter zu Auslieferung in die USA bereit
  3. Whistleblowerin Obama begnadigt Chelsea Manning

Shield TV (2017) im Test: Nvidias sonderbare Neuauflage
Shield TV (2017) im Test
Nvidias sonderbare Neuauflage
  1. Wayland Google erstellt Gamepad-Support für Android in Chrome OS
  2. Android Nougat Nvidia bringt Experience Upgrade 5.0 für Shield TV
  3. Nvidia Das Shield TV wird kleiner und kommt mit mehr Zubehör

  1. Re: hat jetzt mittlerweile jedes aktuelle Handy...

    Poison Nuke | 11:29

  2. Re: Manipulative Bildauswahl

    Trollversteher | 11:28

  3. Re: Wer braucht neue Funktionen?

    Neuro-Chef | 11:26

  4. Re: Muss ich Planescape: Torment ja doch mal...

    trust | 11:24

  5. Re: warum muss man im All auf -90° extra kühlen?

    Poison Nuke | 11:23


  1. 11:00

  2. 10:45

  3. 10:30

  4. 10:00

  5. 08:36

  6. 07:26

  7. 07:14

  8. 11:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel