Videolan: Sicherheitslücke in VLC

Der Mediaplayer VLC enthält in der Version 1.1.5 eine möglicherweise kritische Sicherheitslücke. Ein Bufferoverflow könnte zum Ausführen von Code genutzt werden.

1. Januar 2011 um 11:53 Uhr / Jens Ihlenfeld

34 Kommentare News folgen (öffnet im neuen Fenster)

Ein Fehler beim Parsen ungültiger Header von Real-Media-Dateien in VLC kann genutzt werden, um einen Integer-Overflow auszulösen, der einen Heap-basierten Overflow auslösen kann. Derzeit sei unklar, ob sich darüber Code ausführen lasse, heißt es im Security Advisory 1007(öffnet im neuen Fenster) des Videolan-Teams.

Um den Fehler auszunutzen, ist es notwendig, ein Opfer zum Öffnen einer präparierten Datei zu bringen. Daher sollten Nutzer mit verwundbaren VLC-Versionen bis einschließlich 1.1.5 keine Dateien aus unbekannten Quellen öffnen oder alternativ das Real-Demuxer-Plugin (libreal_plugin.*) entfernen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

Sales Manager (m/w/d) – IT Security Solutions & Managed Services (B2B) Bluvit GmbH, Lohfelden (öffnet im neuen Fenster)

Information Security Specialist (m/w/d) DMK Deutsches Milchkontor GmbH, Bremen (öffnet im neuen Fenster)

Full-Stack Software Entwickler:in (m/w/d) Herole Reisen GmbH, Dresden (öffnet im neuen Fenster)

Teamleitung IT Infrastruktur und Security (m/w/d) SOLCOM GmbH, Reutlingen (öffnet im neuen Fenster)

Manager (w/m/d) für Portfolio- und Masterdata Management B.Braun Melsungen AG, Melsungen (öffnet im neuen Fenster)

Senior Systems Engineer Avionics (f/m/d) Hensoldt, Fürstenfeldbruck (öffnet im neuen Fenster)

Senior Expert - Cyber Resilience (w/m/d) Hensoldt, Fürstenfeldbruck (öffnet im neuen Fenster)

VLC 1.1.6 soll den Fehler beheben, es steht derzeit aber nur im Quelltext zum Download(öffnet im neuen Fenster) bereit.

Zur Startseite 34 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

VLC-Player in Version 1.0.2 erschienen

Sicherheitslücken werden geschlossen. Der VLC-Player ist in Version 1.0.2 für Windows und MacOS X erschienen. Die Quelltexte waren schon Ende September veröffentlicht worden, nun auch die Binaries. In den Vorversionen soll die automatische Updatefunktion teilweise nicht funktionieren, was mit der neuen Fassung korrigiert werden soll.

Freier Media-Player: VLC 3.0 eint alle Plattformen

Die neue Version 3.0 des freien VLC-Players ist nach fast vier Jahren Entwicklungszeit endlich stabil und enthält Funktionen, die längst in Android oder iOS getestet werden. Das Hardware-Decoding sollte nun immer funktionieren. Die Builds für alle Plattformen sind einheitlich.

Relevante Themen