Videolan: GnuTLS-Lücke bedroht weiterhin VLC-Nutzer

Die seit einigen Wochen bekannte Lücke in der Kryptobibliothek GnuTLS kann noch immer im VLC-Player ausgenutzt werden. Der Code ist bereits gepatcht, die Binärversion steht aber noch nicht bereit.

Artikel veröffentlicht am ,
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen.
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen. (Bild: Videolan)

Der VLC-Player ist bis zur aktuellen Version 2.1.4 von einem Fehler in der Kryptobibliothek GnuTLS betroffen. Das geht aus dem bereits verfügbaren Changelog für Version 2.1.5 hervor. Demnach wurde der Fehler über die Aktualisierung der Abhängigkeit zu GnuTLS behoben. Das Update steht in Binärform allerdings noch nicht offiziell bereit.

Stellenmarkt
  1. Projektleiterin / Projektleiter für die Bauwerkserneuerung der Ingenieurbauwerke U-Bahn (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
  2. IT Solutions Architect S / 4HANA - Technical Innovation (m/w/d)
    Schaeffler Technologies AG & Co. KG, Nürnberg
Detailsuche

Im Quellcode ist der entsprechende Patch seit vier Wochen verfügbar. Damit reagierte Jean-Baptiste Kempf, einer der Hauptentwickler des VLC-Players, zwar nur drei Tage nach der Sicherheitsaktualisierung von GnuTLS auf diese. An die meisten Nutzer wurde das Update aber bisher nicht weitergereicht, da eine offizielle Binärversion noch nicht zur Verfügung steht.

Der Fehler in GnuTLS betrifft alle Anwendungen, die die Bibliothek als Basis verwenden, so auch den VLC-Player. Um die Sicherheitslücke auszunutzen, muss die Anwendung dazu gebracht werden, eine verschlüsselte Verbindung mit einem präparierten Server aufzubauen. Durch eine überlange Session-ID kann ein Pufferüberlauf in der Client-Anwendung ausgelöst werden. Darüber ließe sich dann unter Umständen beliebiger Code auf dem Rechner des Opfers ausführen oder die Anwendung stürzt einfach ab.

Die zuletzt veröffentlichte Version 2.1.4 des VLC-Players erschien im Februar 2014. Neben dem GnuTLS-Fehler wird mit dem anstehenden Update auch ein Denial-of-Service-Angriff in der Bibliothek Libpng behoben. Wann das Update für den VLC-Player erscheint, und warum dieses so viel Zeit in Anspruch nimmt, ist derzeit nicht bekannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


crmsnrzl 02. Jul 2014

Was nützt das meiner Mutter (e.g.) wenn du dir privat eine eigene GUI gebastelt hast?

elgooG 02. Jul 2014

Ja, da hast du recht. Zumindest bei Debian & Derivaten wie Ubuntu verwendet VLC natürlich...

aFrI 01. Jul 2014

Es ist halt inkludiert und damit anfällig in diesem speziellen Szenarien.. Und es wird...

Spaghetticode 01. Jul 2014

Für alle anderen ist 2.1.3 die aktuelle Version.



Aktuell auf der Startseite von Golem.de
Cloudgaming
Google Stadia scheiterte nur an sich selbst

Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
Eine Analyse von Daniel Ziegener

Cloudgaming: Google Stadia scheiterte nur an sich selbst
Artikel
  1. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. Vantage Towers: 1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start
    Vantage Towers
    1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start

    Einige Wochen hat es gedauert, bis 1&1 Mobilfunk eine klare Schuldzuweisung gemacht hat. Doch Vantage Towers verteidigt seine Position im Gespräch mit Golem.de.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /