Videolan Client Sicherheitslücke im ASF-Demuxer

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Anzeige

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.


RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...

Kommentieren



Anzeige

  1. Business Intelligence Experte (m/w)
    Sparkassen Rating und Risikosysteme GmbH, Berlin
  2. Netzwerk Administrator (m/w)
    Loyalty Partner Solutions GmbH, keine Angabe
  3. Business Intelligence Analyst Logistik (m/w)
    Home Shopping Europe GmbH, Ismaning (Raum München)
  4. Projektleiter (m/w) Java
    USU AG, Bonn (Home-Office möglich)

 

Detailsuche


Folgen Sie uns
       


  1. MPAA und RIAA

    Film- und Musikindustrie nutzte Megaupload intensiv

  2. F-Secure

    David Hasselhoff spricht auf der Re:publica in Berlin

  3. "Leicht zu verdauen"

    SAP bietet Ratenkauf und kündigt vereinfachte GUI an

  4. Test The Elder Scrolls Online

    Skyrim meets Standard-MMORPG

  5. AMD-Vize Lisa Su

    Geringe Chancen für 20-Nanometer-GPUs von AMD für 2014

  6. Bärbel Höhn

    Smartphone-Hersteller zu Diebstahl-Sperre zwingen

  7. Taxi-App

    Uber will trotz Verbot in weitere deutsche Städte

  8. First-Person-Walker

    Wie viel Gameplay braucht ein Spiel?

  9. Finanzierungsrunde

    Startup Airbnb ist zehn Milliarden US-Dollar wert

  10. Spähaffäre

    Snowden erklärt seine Frage an Putin



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Robotik: Humanoide lassen sich mit dem Gehirn steuern
Robotik
Humanoide lassen sich mit dem Gehirn steuern

Der Roboter Geminoid soll bald nur durch Gedanken bewegt werden. Aber bei den Experimenten im Labor von Hiroshi Ishiguro geht es um mehr: Ishiguro will zeigen, dass Brain-Computer-Interfaces besser funktionieren, wenn das gesteuerte Objekt humanoid ist.

  1. Human Robots Roboter, menschengleich

Radeon R9 295X2 im Test: AMDs Wassermonster für 1.000-Watt-Netzteile
Radeon R9 295X2 im Test
AMDs Wassermonster für 1.000-Watt-Netzteile

Hybridkühlung, 50 Ampere auf der 12-Volt-Schiene - AMDs neue Dual-GPU-Grafikkarte ist ein kompromissloses Monster. In gut ausgestatteten High-End-PCs läuft sie dennoch problemlos und recht leise, und das so schnell, dass auch 4K-Auflösung mit allen Details spielbar wird.

  1. Schenker XMG P724 17-Zoll-Notebook mit Grafikleistung einer GTX 780 Ti
  2. Eurocom M4 13,3-Zoll-Notebook mit 3.200 x 1.800 Pixeln und i7-4940MX
  3. Nvidia Maxwell Geforce GTX 750 und GTX 750 Ti im Februar

Samsung Galaxy Note Pro 12.2 im Test: Groß, schwer, aber praktisch
Samsung Galaxy Note Pro 12.2 im Test
Groß, schwer, aber praktisch

Mit Stiftbedienung, viel Leistung und großem Display ist das Samsung Galaxy Note Pro 12.2 vor allem für den Business-Alltag entwickelt worden. Doch auch für Schüler und Studenten kann das Tablet interessant sein.

  1. Apple vs. Samsung 102 US-Dollar für die Autokorrektur
  2. Smartphones Die seltsame Demo des 30-Sekunden-Ladegeräts
  3. Apple vs. Samsung Apples Furcht vor großen Bildschirmen

    •  / 
    Zum Artikel