Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Videolan Client Sicherheitslücke im ASF-Demuxer

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Anzeige

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.


RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...

Kommentieren



Anzeige

  1. Software Defect Manager (m/w)
    Harman Becker Automotive Systems GmbH, Garching bei München
  2. Consultants (m/w) aus den Bereichen Naturwissenschaften, Mathematik, Informatik, Ingenieurwesen
    Basycon über access KellyOCG GmbH, München, Frankfurt, Hamburg
  3. IT Compliance & Security Specialist (m/w)
    Bankhaus August Lenz & Co. AG, München
  4. IT-Projektleiter (m/w) Lagerlogistik für das Kompetenzcenter Automotive
    Siemens AG, Stuttgart

 

Detailsuche


Blu-ray-Angebote
  1. Der Hobbit - Eine unerwartete Reise [3D Blu-ray]
    14,97€
  2. TOPSELLER: Ghostbusters I & II (2 Discs) (4K Mastered) [Blu-ray]
    9,99€
  3. Blu-ray-Box-Sets und Komplett-Boxen reduziert
    (u. a. Fast & Furious 1-6 nur 26,99€, Lethal Weapon 1-4 nur 17,97€, Unser Universum - Die...

 

Weitere Angebote


Folgen Sie uns
       


  1. Grundwasserbrunnen

    M-Net eröffnet Rechenzentrum in Augsburg

  2. Vorratsdatenspeicherung

    Erster SPD-Abgeordneter lehnt Regierungspläne ab

  3. P2P

    Transferwise will günstige Überweisungen weltweit bieten

  4. Ex-Pirat

    Lauer wird Springers Chef für Innovationen

  5. Lifetab S10364

    Aldi bringt 10-Zoll-Tablet erneut für 200 Euro

  6. Regierungskommission

    Abbau von Netzneutralität soll Glasfaserausbau ankurbeln

  7. Lite

    Huaweis kleines P8 kostet 250 Euro

  8. Test Assassin's Creed Chronicles

    Meuchelmord und Denksport in China

  9. Jobcenter

    Hardware verursachte IT-Ausfall bei Agentur für Arbeit

  10. Piko H0 Smartcontrol

    Pufferküsser fahren Modellbahnen bald mit Android



Haben wir etwas übersehen?

E-Mail an news@golem.de



P8 im Hands On: Huawei setzt auf die Kamera
P8 im Hands On
Huawei setzt auf die Kamera
  1. Huawei P8 Max Riesen-Smartphone mit 6,8-Zoll-Display kostet 550 Euro
  2. Netzwerk und Smartphone Huawei verdient 4,5 Milliarden US-Dollar
  3. Neue Kirin-Prozessoren Nächstes Google Nexus soll von Huawei kommen

Vindskip: Das Schiff der Zukunft segelt hart am Wind
Vindskip
Das Schiff der Zukunft segelt hart am Wind
  1. Volvo Lifepaint Reflektorfarbe aus der Dose schützt Radfahrer
  2. Munin Moderne Geisterschiffe brauchen keinen Steuermann
  3. Globales Transportnetz China will längsten Tunnel am Meeresgrund bauen

Raspberry Pi im Garteneinsatz: Wasser marsch!
Raspberry Pi im Garteneinsatz
Wasser marsch!
  1. Hummingboard angetestet Heiß und anschlussfreudig
  2. Onion Omega Preiswertes Bastelboard für OpenWrt
  3. GCHQ Bastelnde Spione bauen Raspberry-Pi-Cluster

  1. Re: muss mich bei den Piraten entschuldigen

    peter.kleibert | 22:54

  2. Re: Die Wissenschaftler sollten...

    Komischer_Phreak | 22:54

  3. Re: Der Shinkansen war schon eine tolle Erfahrung ...

    elf | 22:53

  4. Re: So ein Quatsch - das ist "Spielen mit Spenden"

    Komischer_Phreak | 22:52

  5. Re: Warum nicht an großen Flüssen?

    Komischer_Phreak | 22:51


  1. 21:18

  2. 18:36

  3. 18:30

  4. 18:26

  5. 16:58

  6. 15:50

  7. 14:54

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel