Abo
  • Services:
Anzeige
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen.
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen. (Bild: Videolan)

Videolan: GnuTLS-Lücke bedroht weiterhin VLC-Nutzer

Die seit einigen Wochen bekannte Lücke in der Kryptobibliothek GnuTLS kann noch immer im VLC-Player ausgenutzt werden. Der Code ist bereits gepatcht, die Binärversion steht aber noch nicht bereit.

Anzeige

Der VLC-Player ist bis zur aktuellen Version 2.1.4 von einem Fehler in der Kryptobibliothek GnuTLS betroffen. Das geht aus dem bereits verfügbaren Changelog für Version 2.1.5 hervor. Demnach wurde der Fehler über die Aktualisierung der Abhängigkeit zu GnuTLS behoben. Das Update steht in Binärform allerdings noch nicht offiziell bereit.

Im Quellcode ist der entsprechende Patch seit vier Wochen verfügbar. Damit reagierte Jean-Baptiste Kempf, einer der Hauptentwickler des VLC-Players, zwar nur drei Tage nach der Sicherheitsaktualisierung von GnuTLS auf diese. An die meisten Nutzer wurde das Update aber bisher nicht weitergereicht, da eine offizielle Binärversion noch nicht zur Verfügung steht.

Der Fehler in GnuTLS betrifft alle Anwendungen, die die Bibliothek als Basis verwenden, so auch den VLC-Player. Um die Sicherheitslücke auszunutzen, muss die Anwendung dazu gebracht werden, eine verschlüsselte Verbindung mit einem präparierten Server aufzubauen. Durch eine überlange Session-ID kann ein Pufferüberlauf in der Client-Anwendung ausgelöst werden. Darüber ließe sich dann unter Umständen beliebiger Code auf dem Rechner des Opfers ausführen oder die Anwendung stürzt einfach ab.

Die zuletzt veröffentlichte Version 2.1.4 des VLC-Players erschien im Februar 2014. Neben dem GnuTLS-Fehler wird mit dem anstehenden Update auch ein Denial-of-Service-Angriff in der Bibliothek Libpng behoben. Wann das Update für den VLC-Player erscheint, und warum dieses so viel Zeit in Anspruch nimmt, ist derzeit nicht bekannt.


eye home zur Startseite
crmsnrzl 02. Jul 2014

Was nützt das meiner Mutter (e.g.) wenn du dir privat eine eigene GUI gebastelt hast?

elgooG 02. Jul 2014

Ja, da hast du recht. Zumindest bei Debian & Derivaten wie Ubuntu verwendet VLC natürlich...

aFrI 01. Jul 2014

Es ist halt inkludiert und damit anfällig in diesem speziellen Szenarien.. Und es wird...

Spaghetticode 01. Jul 2014

Für alle anderen ist 2.1.3 die aktuelle Version.

WS 30. Jun 2014

Na das freut uns :)



Anzeige

Stellenmarkt
  1. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)
  2. VPV Versicherungen, Stuttgart
  3. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  4. SITA Airport IT GmbH, Düsseldorf


Anzeige
Hardware-Angebote
  1. 39,99€
  2. 17,99€ statt 29,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. DVB-T2

    Bereits eine Millionen Freenet-Geräte verkauft

  2. Moore's Law

    Hyperscaling soll jedes Jahr neue Intel-CPUs sichern

  3. Prozessoren

    AMD bringt Ryzen mit 12 und 16 Kernen und X390-Chipsatz

  4. Spark Room Kit

    Cisco bringt KI in Konferenzräume

  5. Kamera

    Facebook macht schicke Bilder und löscht sie dann wieder

  6. Tapdo

    Das Smart Home mit Fingerabdrücken steuern

  7. 17,3-Zoll-Notebook

    Razer aktualisiert das Blade Pro mit THX-Zertifizierung

  8. Mobilfunk

    Tschechien versteigert Frequenzen für 5G-Netze

  9. Let's Encrypt

    Immer mehr Phishing-Seiten beantragen Zertifikate

  10. E-Mail-Lesen erlaubt

    Koalition bessert Gesetz zum automatisierten Fahren nach



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
NZXT: Lüfter auch unter Linux steuern
NZXT
Lüfter auch unter Linux steuern
  1. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich
  2. FluoWiFi Arduino-kompatibles Board bietet WLAN und Bluetooth
  3. Me Arm Pi Roboterarm zum Selberbauen

Forensik Challenge: Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
Forensik Challenge
Lust auf eine Cyber-Stelle beim BND? Golem.de hilft!
  1. Reporter ohne Grenzen Verfassungsklage gegen BND-Überwachung eingereicht
  2. Selektorenaffäre BND soll ausländische Journalisten ausspioniert haben
  3. Ex-Verfassungsgerichtspräsident Papier Die Politik stellt sich beim BND-Gesetz taub

Hannover: Die Sommer-Cebit wird teuer
Hannover
Die Sommer-Cebit wird teuer
  1. Hannover Pavillons für die Sommer-Cebit sind schon ausgebucht
  2. Ab 2018 Cebit findet künftig im Sommer statt
  3. Modell 32UD99 LGs erster HDR-Monitor mit USB-C kommt nach Deutschland

  1. Re: Regel #1 des Internet

    Neuro-Chef | 23:23

  2. Re: Ist das legal wenn man es "Freenet" nennt?

    leMatin | 23:22

  3. Re: Aber bitte nur mit Brain-Spam-Filter

    Nocta | 23:13

  4. Re: Wer fälscht bitte Münzen!??

    TechnikSchaaf | 23:10

  5. Re: Ich...

    Nocta | 23:10


  1. 20:56

  2. 20:05

  3. 18:51

  4. 18:32

  5. 18:10

  6. 17:50

  7. 17:28

  8. 17:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel