Sicherheitslücke im VLC Media Player (Update)

Beispiel-Code im Internet zu finden

Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Artikel veröffentlicht am ,

Bei der Verarbeitung der URL udp:// macht sich eine Format-String-Sicherheitslücke bemerkbar. Durch einen manipulierten String kann ein Angreifer schadhaften Programmcode ausführen. Sofern der VLC Media Player als Standard-Applikation für die Wiedergabe von udp-Anfragen eingetragen ist, genügt bereits das Öffnen eines entsprechenden Links, um Opfer eines solchen Angriffs zu werden.

Stellenmarkt
  1. System Engineer (m/w/d) im Bereich Linux
    DIEHL Informatik GmbH, Nürnberg
  2. Softwareentwickler Android, Navigation und Map (m/w/d)
    e.solutions GmbH, Erlangen
Detailsuche

Das Problem betrifft die Windows- und MacOS-Version des VLC Media Players 0.8.6, für die bislang keine Patches verfügbar sind. Möglicherweise sind auch frühere Versionen des VLC Media Players betroffen und unter Umständen tritt der Fehler auch auf anderen Plattformen auf. Beispiel-Code wurde im Internet veröffentlicht, um den Fehler zu belegen. Derzeit gibt es keinen Patch für den VLC Media Player, um das Sicherheitsrisiko zu umgehen. Als Abhilfe wird empfohlen, die Zuweisung von udp-Aufrufen zu deaktivieren oder den VLC Media Player zu deinstallieren.

Dieses Sicherheitsloch wurde im Rahmen des "Month of Apple Bugs" (MOAB) veröffentlicht. Damit soll im Laufe des Januar 2007 gezeigt werden, dass auch MacOS X nicht per se vor Sicherheitslücken gefeit ist. Dazu wird im laufenden Monat auf nicht geschlossene Sicherheitslücken im Betriebssystem sowie in Applikationen hingewiesen. Bereits gestern wurde im Rahmen dieser Initiative auf eine Sicherheitslücke in QuickTime hingewiesen.

Nachtrag vom 3. Januar 2007 um 11:02 Uhr:
Für das Sicherheitsleck in QuickTime steht zumindest für die Mac-Welt ein Workaround-Patch bereit, der das Problem umgeht, um nicht Opfer einer solchen Attacke zu werden.

Nachtrag vom 3. Januar 2007 um 12:50 Uhr:
Für den VLC Media Player steht bereits ein Fix bereit, der allerdings noch nicht in eine neue Programmversion eingepflegt wurde. Zudem gibt es wieder einen linoffiziellen Workaround-Patch, der das Sicherheitsleck zumindest in der Mac-Version des VLC Media Player umgeht. Wie bei dem Workaround-Patch für QuickTime erwartet auch die Korrektur für den VLC Media Player den Application Enhancer, um wirksam zu sein. Strings werden dann vor der Übergabe an den VLC Media Player auf Ungereimtheiten geprüft, damit das Sicherheitsleck nicht mehr ausgenutzt werden kann und die Software in ihren Funktionen nicht beeinträchtigt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sea of Thieves
Rund zehn Stunden Abenteuer unter der Piratenflagge

Die solo spielbare Kampagne Sea of Thieves: A Pirate's Life schickt Freibeuter in den Fluch der Karibik mit Jack Sparrow und Davy Jones.
Von Peter Steinlechner

Sea of Thieves: Rund zehn Stunden Abenteuer unter der Piratenflagge
Artikel
  1. Bundesdruckerei: Pilotbetrieb für digitale Schulzeugnisse gestartet
    Bundesdruckerei
    Pilotbetrieb für digitale Schulzeugnisse gestartet

    Das digitale Schulzeugnis soll vieles einfacher und sicherer machen, zunächst gehen drei Bundesländer mit IT-Experten in die Erprobung.

  2. PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
    PC-Hardware
    Grafikkarten werden günstiger und besser verfügbar

    Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

  3. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

mb78 12. Dez 2007

Hi, vllt hast du einen fehlerhaften Codec installiert? Tritt das Prob bei allen Filmen...

The Troll 05. Jan 2007

Das Problem ist somit gebannt. Was mich an der Art dieses Meldung (nicht von Golem) am...

Seebauer (der... 04. Jan 2007

Hej, der ist wirklich gut :+!

Seebauer (der... 03. Jan 2007

Jep. YouTube spielt die Videos mit einem embedded FLV-Player ab. Das hat rein gar nix mit...

Nüscht 03. Jan 2007

Ist halt einfach nicht betroffen.


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /