Abo
  • Services:
Anzeige
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Videolan Client: Sicherheitslücke im ASF-Demuxer

Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann.
Im ASF-Demuxer des VLC ist ein Fehler, der zum Einschleusen von Schadsoftware genutzt werden kann. (Bild: VideoLAN)

Über einen Fehler im ASF-Demuxer des Videolan Clients (VLC) lässt sich möglicherweise Schadcode auf den Rechner eines Opfers einschleusen. Ein Patch ist bereits in Arbeit. Bis dahin sollten Anwender das VLC-Plugin im Browser deaktivieren.

Die Entwickler des Videolan Clients weisen in einer Sicherheitsmeldung darauf hin, dass ein Fehler im ASF-Demuxer der Multimediasoftware möglicherweise dazu genutzt werden kann, Schadcode auf einem Rechner auszuführen. Der Schadcode lässt sich in einer speziell präparierten Videodatei in Microsofts ASF-Format einfügen. Der Fehler ist laut Entwicklern in allen bisherigen Versionen des VLC enthalten.

Anzeige

Mit dem Browser-Plugin von VLC kann der Schadcode auch über eine Webseite übertragen werden. Deshalb raten die Entwickler, ein installiertes Plugin im Browser vorübergehend zu deaktivieren. Außerdem sollten Nutzer keine unbekannten ASF-Dateien abspielen, bis der Fehler behoben ist. Alternativ lässt sich die Bibliothek libasf_plugin.* aus dem Installationsverzeichnis entfernen. Damit wird das Abspielen einer ASF-Datei ebenfalls verhindert.

Unerlaubter Zugriff auf den Speicher

Eine speziell präparierte ASF-Datei kann einen Pufferüberlauf auslösen und so Schadcode unberechtigten Zugriff auf den Arbeitsspeicher ermöglichen. Dass dann bösartiger Code ausgeführt werden kann, sei möglich, aber nicht überprüft, schreiben die Entwickler in ihrem Hinweis. Bestätigt ist hingegen, dass der Fehler zu einem Absturz des VLC führt. Um den Fehler zu beheben, wurde ein Makro durch Static-Inline-Code und eine bessere Feldgrenzenüberprüfung ersetzt.

Ein Patch, der den Fehler behebt, sei bereits fertig, werde aber noch geprüft, schreiben die Entwickler. Er soll mit dem Update 2.0.6 ausgeliefert werden, dessen Veröffentlichung direkt nach dem Abschluss des Tests geplant ist. Derweil können Windows- und Mac-OS-X-Nutzer auch auf die täglich erscheinenden Nightly Builds zurückgreifen, die den Patch bereits enthalten.


eye home zur Startseite
RoqueNE 31. Jan 2013

Ah, interessant. DEP wirkt also nur effektiv mit ASLR zusammen. Und letzteres auch nur...



Anzeige

Stellenmarkt
  1. Kommunales Rechenzentrum Niederrhein GmbH, Kamp-Lintfort
  2. Zurich Gruppe Deutschland, Bonn
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. Senatskanzlei Hamburg, Hamburg


Anzeige
Top-Angebote
  1. 39€
  2. (u. a. Gran Turismo Sport + Controller für 59,99€, und SanDisk Plus SSD 128 GB für 39€)
  3. 277€

Folgen Sie uns
       


  1. Matebook X Pro im Hands on

    Huaweis Notebook kommt mit Nvidia-Grafikkarte

  2. Apple

    iTunes Store sperrt alte Geräte und Betriebssysteme aus

  3. Alcatel 1T

    Oreo-Tablet mit 7-Display kostet 70 Euro

  4. Notebook und Tablets

    Huawei stellt neues Matebook und Mediapads vor

  5. V30S Thinq

    LG zeigt sein erstes Thinq-Smartphone

  6. MWC

    Nokia erwartet 5G-Netze bereits in diesem Jahr

  7. Incident Response

    Social Engineering funktioniert als Angriffsvektor weiterhin

  8. Börsengang

    AWS-Verzicht spart Dropbox Millionen US-Dollar

  9. LAA

    Nokia und T-Mobile erreichen 1,3 GBit/s mit LTE

  10. Alcatel 1X

    Android-Go-Smartphone mit 2:1-Display kommt für 100 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Age of Empires Definitive Edition Test: Trotz neuem Look zu rückständig
Age of Empires Definitive Edition Test
Trotz neuem Look zu rückständig
  1. Echtzeit-Strategie Definitive Edition von Age of Empires hat neuen Termin
  2. Matt Booty Mr. Minecraft wird neuer Spiele-Chef bei Microsoft
  3. Vorschau Spielejahr 2018 Zwischen Kuhstall und knallrümpfigen Krötern

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Das sagt eine Schlange auch

    teenriot* | 16:57

  2. Obszön

    L_Starkiller | 16:53

  3. Re: 11 Jahre Support ...

    budweiser | 16:38

  4. Nur noch mieten?

    xomox | 16:36

  5. Kulturelle Unterschiede

    pica | 16:25


  1. 16:41

  2. 15:30

  3. 15:00

  4. 14:30

  5. 14:18

  6. 14:08

  7. 12:11

  8. 10:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel