Abo
  • Services:

Sicherheitslücke im VLC Media Player (Update)

Beispiel-Code im Internet zu finden

Der VLC Media Player weist in der Mac- und Windows-Version eine Sicherheitslücke auf, worüber Angreifer beliebigen Programmcode ausführen können. Bereits das Öffnen eines entsprechend präparierten Links kann genügen, um Opfer einer solchen Attacke zu werden. Mittlerweile steht auch ein Patch für den VLC Media Player bereit.

Artikel veröffentlicht am ,

Bei der Verarbeitung der URL udp:// macht sich eine Format-String-Sicherheitslücke bemerkbar. Durch einen manipulierten String kann ein Angreifer schadhaften Programmcode ausführen. Sofern der VLC Media Player als Standard-Applikation für die Wiedergabe von udp-Anfragen eingetragen ist, genügt bereits das Öffnen eines entsprechenden Links, um Opfer eines solchen Angriffs zu werden.

Stellenmarkt
  1. ING-DiBa AG, Nürnberg, Frankfurt
  2. operational services GmbH & Co. KG, Frankfurt am Main

Das Problem betrifft die Windows- und MacOS-Version des VLC Media Players 0.8.6, für die bislang keine Patches verfügbar sind. Möglicherweise sind auch frühere Versionen des VLC Media Players betroffen und unter Umständen tritt der Fehler auch auf anderen Plattformen auf. Beispiel-Code wurde im Internet veröffentlicht, um den Fehler zu belegen. Derzeit gibt es keinen Patch für den VLC Media Player, um das Sicherheitsrisiko zu umgehen. Als Abhilfe wird empfohlen, die Zuweisung von udp-Aufrufen zu deaktivieren oder den VLC Media Player zu deinstallieren.

Dieses Sicherheitsloch wurde im Rahmen des "Month of Apple Bugs" (MOAB) veröffentlicht. Damit soll im Laufe des Januar 2007 gezeigt werden, dass auch MacOS X nicht per se vor Sicherheitslücken gefeit ist. Dazu wird im laufenden Monat auf nicht geschlossene Sicherheitslücken im Betriebssystem sowie in Applikationen hingewiesen. Bereits gestern wurde im Rahmen dieser Initiative auf eine Sicherheitslücke in QuickTime hingewiesen.

Nachtrag vom 3. Januar 2007 um 11:02 Uhr:
Für das Sicherheitsleck in QuickTime steht zumindest für die Mac-Welt ein Workaround-Patch bereit, der das Problem umgeht, um nicht Opfer einer solchen Attacke zu werden.

Nachtrag vom 3. Januar 2007 um 12:50 Uhr:
Für den VLC Media Player steht bereits ein Fix bereit, der allerdings noch nicht in eine neue Programmversion eingepflegt wurde. Zudem gibt es wieder einen linoffiziellen Workaround-Patch, der das Sicherheitsleck zumindest in der Mac-Version des VLC Media Player umgeht. Wie bei dem Workaround-Patch für QuickTime erwartet auch die Korrektur für den VLC Media Player den Application Enhancer, um wirksam zu sein. Strings werden dann vor der Übergabe an den VLC Media Player auf Ungereimtheiten geprüft, damit das Sicherheitsleck nicht mehr ausgenutzt werden kann und die Software in ihren Funktionen nicht beeinträchtigt wird.

Zu den Kommentaren springen
Meistgelesen
  1. Lieferdienste
    Amazon enttarnt Paketdiebe mit fingierten Lieferungen
  2. iPhone Xs Max im Test
    Das Smartphone zum Preis eines iMac
  3. Entwicklerstudio
    Telltale Games wird wohl geschlossen
  4. Sky Q im Test
    Konkurrenzlos rückständig
  5. Logistiktram
    Frankfurt liefert Pakete mit Straßenbahn aus
Anzeige
Hardware-Angebote
  1. 119,90€
  3. 194,90€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)
  4. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
Kommentarübersicht
Re: VCL macht Probleme
mb78 12. Dez 2007

Hi, vllt hast du einen fehlerhaften Codec installiert? Tritt das Prob bei allen Filmen...

Version 0.8.6a erschienen
The Troll 05. Jan 2007

Das Problem ist somit gebannt. Was mich an der Art dieses Meldung (nicht von Golem) am...

Re: Alternative: GOM Player
Seebauer (der... 04. Jan 2007

Hej, der ist wirklich gut :+!

Re: Basiert nicht Youtube auf VLC?
Seebauer (der... 03. Jan 2007

Jep. YouTube spielt die Videos mit einem embedded FLV-Player ab. Das hat rein gar nix mit...

Wunderte mich schon warum es kein (Linux-)Update gab
Nüscht 03. Jan 2007

Ist halt einfach nicht betroffen.

Folgen Sie uns
       
Motorola One angesehen (Ifa 2018)

Lenovo hat auf der Elektronikfachmesse Ifa 2018 sein neues Android-Smartphone Motorola One vorgestellt.

Motorola One angesehen (Ifa 2018) Video aufrufen
Abmahnung
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis

    iPhone
    iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
    iPhone Xs, Xs Max und Xr
    Wer unterstützt die eSIM in den neuen iPhones?

    Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
    Von Tobias Költzsch

    1. Apple Das iPhone Xr macht's billiger und bunter
    2. Apple iPhones sollen Stiftunterstützung erhalten
    3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem
    iPhone
    Apple: iPhone Xs und iPhone Xs Max sind bierdicht
    Apple
    iPhone Xs und iPhone Xs Max sind bierdicht

    Apple verdoppelt das iPhone X. Das Modell iPhone Xs mit 5,8 Zoll großem Display ist der Nachfolger des iPhone X und das iPhone Xs Max ist ein Plus-Modell mit 6,5 Zoll großem Display. Die Gehäuse sind sogar salzwasserfest und überstehen auch Bäder in anderen Flüssigkeiten.

    1. Apple iPhone 3GS wird in Südkorea wieder verkauft
    2. Drosselung beim iPhone Apple zahlt Kunden Geld für Akkutausch zurück
    3. NFC Yubikeys arbeiten ab sofort mit dem iPhone zusammen
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /