Abo
  • Services:
Anzeige
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen.
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen. (Bild: Videolan)

Videolan: GnuTLS-Lücke bedroht weiterhin VLC-Nutzer

Die seit einigen Wochen bekannte Lücke in der Kryptobibliothek GnuTLS kann noch immer im VLC-Player ausgenutzt werden. Der Code ist bereits gepatcht, die Binärversion steht aber noch nicht bereit.

Anzeige

Der VLC-Player ist bis zur aktuellen Version 2.1.4 von einem Fehler in der Kryptobibliothek GnuTLS betroffen. Das geht aus dem bereits verfügbaren Changelog für Version 2.1.5 hervor. Demnach wurde der Fehler über die Aktualisierung der Abhängigkeit zu GnuTLS behoben. Das Update steht in Binärform allerdings noch nicht offiziell bereit.

Im Quellcode ist der entsprechende Patch seit vier Wochen verfügbar. Damit reagierte Jean-Baptiste Kempf, einer der Hauptentwickler des VLC-Players, zwar nur drei Tage nach der Sicherheitsaktualisierung von GnuTLS auf diese. An die meisten Nutzer wurde das Update aber bisher nicht weitergereicht, da eine offizielle Binärversion noch nicht zur Verfügung steht.

Der Fehler in GnuTLS betrifft alle Anwendungen, die die Bibliothek als Basis verwenden, so auch den VLC-Player. Um die Sicherheitslücke auszunutzen, muss die Anwendung dazu gebracht werden, eine verschlüsselte Verbindung mit einem präparierten Server aufzubauen. Durch eine überlange Session-ID kann ein Pufferüberlauf in der Client-Anwendung ausgelöst werden. Darüber ließe sich dann unter Umständen beliebiger Code auf dem Rechner des Opfers ausführen oder die Anwendung stürzt einfach ab.

Die zuletzt veröffentlichte Version 2.1.4 des VLC-Players erschien im Februar 2014. Neben dem GnuTLS-Fehler wird mit dem anstehenden Update auch ein Denial-of-Service-Angriff in der Bibliothek Libpng behoben. Wann das Update für den VLC-Player erscheint, und warum dieses so viel Zeit in Anspruch nimmt, ist derzeit nicht bekannt.


eye home zur Startseite
crmsnrzl 02. Jul 2014

Was nützt das meiner Mutter (e.g.) wenn du dir privat eine eigene GUI gebastelt hast?

elgooG 02. Jul 2014

Ja, da hast du recht. Zumindest bei Debian & Derivaten wie Ubuntu verwendet VLC natürlich...

aFrI 01. Jul 2014

Es ist halt inkludiert und damit anfällig in diesem speziellen Szenarien.. Und es wird...

Spaghetticode 01. Jul 2014

Für alle anderen ist 2.1.3 die aktuelle Version.

WS 30. Jun 2014

Na das freut uns :)



Anzeige

Stellenmarkt
  1. BWI GmbH, Hannover
  2. Deloitte GmbH Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  3. QualityMinds GmbH, München, Nürnberg, Frankfurt am Main
  4. EOS GmbH Electro Optical Systems, Krailling


Anzeige
Hardware-Angebote
  1. täglich neue Deals

Folgen Sie uns
       


  1. FTTH

    Deutsche Glasfaser kommt im ländlichen Bayern weiter

  2. Druck der Filmwirtschaft

    EU-Parlament verteidigt Geoblocking bei Fernsehsendern

  3. Fritzbox

    In Bochum beginnen Gigabit-Nutzertests von Unitymedia

  4. PC

    Geld für Intel Inside wird stark gekürzt

  5. Firmware

    Intel will ME-Downgrade-Attacken in Hardware verhindern

  6. Airgig

    AT&T testet 1 GBit/s an Überlandleitungen

  7. Zenfone 4 Pro

    Asus' Top-Smartphone kostet 850 Euro

  8. Archäologie

    Miniluftschiff soll Kammer in der Cheops-Pyramide erkunden

  9. Lohn

    Streik bei Amazon an zwei Standorten

  10. Vorratsdatenspeicherung

    Die Groko funktioniert schon wieder



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Datentransfer in USA EU-Datenschützer fordern Nachbesserungen beim Privacy Shield
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

  1. Re: Warum den Boot-Vorgang so kompliziert machen?

    daydreamer42 | 23:53

  2. Re: Umverteilung

    nf1n1ty | 23:52

  3. Dann verwenden die hoffentlich keine Extrastärke...

    attitudinized | 23:47

  4. Habe ich dann 0,00005 GB/s?

    Unitymedianutzer | 23:46

  5. Zwangsweise mit heruntergelassener Hose im Netz!

    daydreamer42 | 23:45


  1. 17:01

  2. 16:38

  3. 16:00

  4. 15:29

  5. 15:16

  6. 14:50

  7. 14:25

  8. 14:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel