Abo
  • Services:

Sicherheitslücke im VLC Media Player (Update)

Beispiel-Code im Internet zu finden

Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Artikel veröffentlicht am ,

Bei der Verarbeitung der URL udp:// macht sich eine Format-String-Sicherheitslücke bemerkbar. Durch einen manipulierten String kann ein Angreifer schadhaften Programmcode ausführen. Sofern der VLC Media Player als Standard-Applikation für die Wiedergabe von udp-Anfragen eingetragen ist, genügt bereits das Öffnen eines entsprechenden Links, um Opfer eines solchen Angriffs zu werden.

Stellenmarkt
  1. Hamburg Südamerikanische Dampfschifffahrts-Gesellschaft A/S & Co KG, Hamburg
  2. 1WorldSync GmbH, Köln

Das Problem betrifft die Windows- und MacOS-Version des VLC Media Players 0.8.6, für die bislang keine Patches verfügbar sind. Möglicherweise sind auch frühere Versionen des VLC Media Players betroffen und unter Umständen tritt der Fehler auch auf anderen Plattformen auf. Beispiel-Code wurde im Internet veröffentlicht, um den Fehler zu belegen. Derzeit gibt es keinen Patch für den VLC Media Player, um das Sicherheitsrisiko zu umgehen. Als Abhilfe wird empfohlen, die Zuweisung von udp-Aufrufen zu deaktivieren oder den VLC Media Player zu deinstallieren.

Dieses Sicherheitsloch wurde im Rahmen des "Month of Apple Bugs" (MOAB) veröffentlicht. Damit soll im Laufe des Januar 2007 gezeigt werden, dass auch MacOS X nicht per se vor Sicherheitslücken gefeit ist. Dazu wird im laufenden Monat auf nicht geschlossene Sicherheitslücken im Betriebssystem sowie in Applikationen hingewiesen. Bereits gestern wurde im Rahmen dieser Initiative auf eine Sicherheitslücke in QuickTime hingewiesen.

Nachtrag vom 3. Januar 2007 um 11:02 Uhr:
Für das Sicherheitsleck in QuickTime steht zumindest für die Mac-Welt ein Workaround-Patch bereit, der das Problem umgeht, um nicht Opfer einer solchen Attacke zu werden.

Nachtrag vom 3. Januar 2007 um 12:50 Uhr:
Für den VLC Media Player steht bereits ein Fix bereit, der allerdings noch nicht in eine neue Programmversion eingepflegt wurde. Zudem gibt es wieder einen linoffiziellen Workaround-Patch, der das Sicherheitsleck zumindest in der Mac-Version des VLC Media Player umgeht. Wie bei dem Workaround-Patch für QuickTime erwartet auch die Korrektur für den VLC Media Player den Application Enhancer, um wirksam zu sein. Strings werden dann vor der Übergabe an den VLC Media Player auf Ungereimtheiten geprüft, damit das Sicherheitsleck nicht mehr ausgenutzt werden kann und die Software in ihren Funktionen nicht beeinträchtigt wird.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 18,99€
  3. 399€ (Wert der Spiele rund 212€)

mb78 12. Dez 2007

Hi, vllt hast du einen fehlerhaften Codec installiert? Tritt das Prob bei allen Filmen...

The Troll 05. Jan 2007

Das Problem ist somit gebannt. Was mich an der Art dieses Meldung (nicht von Golem) am...

Seebauer (der... 04. Jan 2007

Hej, der ist wirklich gut :+!

Seebauer (der... 03. Jan 2007

Jep. YouTube spielt die Videos mit einem embedded FLV-Player ab. Das hat rein gar nix mit...

Nüscht 03. Jan 2007

Ist halt einfach nicht betroffen.


Folgen Sie uns
       


HMD zeigt das Nokia 210 (MWC 2019)

Das Nokia 210 ist ein 2,5G Featurephone.

HMD zeigt das Nokia 210 (MWC 2019) Video aufrufen
Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


    Stadia ausprobiert: Um die Grafikoptionen kümmert sich Google
    Stadia ausprobiert
    Um die Grafikoptionen kümmert sich Google

    GDC 2019 Beim Ausprobieren und im Gespräch mit Entwicklern wird immer klarer: Stadia von Google ist als eigenständige Plattform zu verstehen und nicht als simpler Streamingdienst. Momentan kommt für das Bild noch der Codec VP9 zum Einsatz.
    Von Peter Steinlechner


        •  /