Videolan Client: Sicherheitslücke im ASF-Demuxer

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Artikel veröffentlicht am ,
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Stellenmarkt
  1. Information Security Experts (m/w/d)
    Allianz Deutschland AG, München Unterföhring
  2. Mitarbeiter (m/w/d) Prozessmanagement IT
    Kindertagesstätten Nordwest Eigenbetrieb von Berlin, Berlin
Detailsuche

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Screenshots zeigen neue Oberfläche
Windows 11 geleakt

Durch einen Leak der ISO von Microsofts Betriebssystem Windows 11 sind Details der Benutzeroberfläche inklusive des Startmenüs bekanntgeworden.

Screenshots zeigen neue Oberfläche: Windows 11 geleakt
Artikel
  1. Nightwatch: Kunststoffkugel macht Apple Watch zum besseren Wecker
    Nightwatch
    Kunststoffkugel macht Apple Watch zum besseren Wecker

    Mit Nightwatch ist der Nachtmodus der Apple Watch wesentlich besser zu sehen. Gleichzeitig bietet die Kugel Platz für das Ladegerät.

  2. Protest gegen VW: Greenpeace-Aktivist springt mit Gleitschirm ins EM-Stadion
    Protest gegen VW
    Greenpeace-Aktivist springt mit Gleitschirm ins EM-Stadion

    Vor Anpfiff des EM-Spiels Deutschland-Frankreich ist ein Motorschirmflieger im Stadion gelandet: Greenpeace forderte den Verbrennerausstieg von VW.

  3. Weltraumtourismus: Nasa bietet zweiwöchige Aufenthalte auf der ISS an
    Weltraumtourismus
    Nasa bietet zweiwöchige Aufenthalte auf der ISS an

    Die Nasa will den Trend zum Weltraumtourismus weiter vorantreiben und ermöglicht Zahlungswilligen künftig einen zweiwöchigen Urlaub auf der ISS.

RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI MAG274R2 27" FHD 144Hz 269€ • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Apple iPads (u. a. iPad Pro 12,9" 256GB 909€) • Razer Naga Pro 119,99€ • Alternate (u. a. NZXT Kraken WaKü 109,90€) [Werbung]
    •  /