Abo
  • IT-Karriere:

Sicherheitslücke im VLC Media Player (Update)

Beispiel-Code im Internet zu finden

Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Artikel veröffentlicht am ,

Bei der Verarbeitung der URL udp:// macht sich eine Format-String-Sicherheitslücke bemerkbar. Durch einen manipulierten String kann ein Angreifer schadhaften Programmcode ausführen. Sofern der VLC Media Player als Standard-Applikation für die Wiedergabe von udp-Anfragen eingetragen ist, genügt bereits das Öffnen eines entsprechenden Links, um Opfer eines solchen Angriffs zu werden.

Stellenmarkt
  1. Institut Franco-Allemand de Recherches Saint-Louis, Weil am Rhein
  2. JENOPTIK AG, Jena

Das Problem betrifft die Windows- und MacOS-Version des VLC Media Players 0.8.6, für die bislang keine Patches verfügbar sind. Möglicherweise sind auch frühere Versionen des VLC Media Players betroffen und unter Umständen tritt der Fehler auch auf anderen Plattformen auf. Beispiel-Code wurde im Internet veröffentlicht, um den Fehler zu belegen. Derzeit gibt es keinen Patch für den VLC Media Player, um das Sicherheitsrisiko zu umgehen. Als Abhilfe wird empfohlen, die Zuweisung von udp-Aufrufen zu deaktivieren oder den VLC Media Player zu deinstallieren.

Dieses Sicherheitsloch wurde im Rahmen des "Month of Apple Bugs" (MOAB) veröffentlicht. Damit soll im Laufe des Januar 2007 gezeigt werden, dass auch MacOS X nicht per se vor Sicherheitslücken gefeit ist. Dazu wird im laufenden Monat auf nicht geschlossene Sicherheitslücken im Betriebssystem sowie in Applikationen hingewiesen. Bereits gestern wurde im Rahmen dieser Initiative auf eine Sicherheitslücke in QuickTime hingewiesen.

Nachtrag vom 3. Januar 2007 um 11:02 Uhr:
Für das Sicherheitsleck in QuickTime steht zumindest für die Mac-Welt ein Workaround-Patch bereit, der das Problem umgeht, um nicht Opfer einer solchen Attacke zu werden.

Nachtrag vom 3. Januar 2007 um 12:50 Uhr:
Für den VLC Media Player steht bereits ein Fix bereit, der allerdings noch nicht in eine neue Programmversion eingepflegt wurde. Zudem gibt es wieder einen linoffiziellen Workaround-Patch, der das Sicherheitsleck zumindest in der Mac-Version des VLC Media Player umgeht. Wie bei dem Workaround-Patch für QuickTime erwartet auch die Korrektur für den VLC Media Player den Application Enhancer, um wirksam zu sein. Strings werden dann vor der Übergabe an den VLC Media Player auf Ungereimtheiten geprüft, damit das Sicherheitsleck nicht mehr ausgenutzt werden kann und die Software in ihren Funktionen nicht beeinträchtigt wird.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 469,00€

mb78 12. Dez 2007

Hi, vllt hast du einen fehlerhaften Codec installiert? Tritt das Prob bei allen Filmen...

The Troll 05. Jan 2007

Das Problem ist somit gebannt. Was mich an der Art dieses Meldung (nicht von Golem) am...

Seebauer (der... 04. Jan 2007

Hej, der ist wirklich gut :+!

Seebauer (der... 03. Jan 2007

Jep. YouTube spielt die Videos mit einem embedded FLV-Player ab. Das hat rein gar nix mit...

Nüscht 03. Jan 2007

Ist halt einfach nicht betroffen.


Folgen Sie uns
       


ANC-Kopfhörer im Lautstärkevergleich

Wir haben Microsofts Surface Headphones und die Jabra Elite 85h bei der ANC-Leistung verglichen. Für einen besseren Vergleich zeigen wir auch die besonders leistungsfähigen ANC-Kopfhörer von Sony und Bose, die WH-1000XM3 und die Quiet Comfort 35 II.

ANC-Kopfhörer im Lautstärkevergleich Video aufrufen
e.Go Life: Ein Auto, das lächelt
e.Go Life
Ein Auto, das lächelt

Das Auto ist zwar klein, bringt aber sogar gestandene Rennfahrer ins Schwärmen: Das Aachener Unternehmen e.Go Mobile hat seine ersten Elektroautos ausgeliefert. In einer Probefahrt erweist sich der Kleinwagen als sehr dynamisch.
Ein Bericht von Werner Pluta

  1. Elektroauto Skoda Citigo e iV soll 265 km weit fahren
  2. Eon-Studie Netzausbau kostet maximal 400 Euro pro Elektroauto
  3. EZ-Pod Renault-Miniauto soll Stadtverkehr in Kolonne fahren

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  2. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht
  3. Oneplus 7 Pro im Test Spitzenplatz dank Dreifachkamera

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

    •  /