Abo
  • Services:
Anzeige
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen.
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen. (Bild: Videolan)

Videolan: GnuTLS-Lücke bedroht weiterhin VLC-Nutzer

Die seit einigen Wochen bekannte Lücke in der Kryptobibliothek GnuTLS kann noch immer im VLC-Player ausgenutzt werden. Der Code ist bereits gepatcht, die Binärversion steht aber noch nicht bereit.

Anzeige

Der VLC-Player ist bis zur aktuellen Version 2.1.4 von einem Fehler in der Kryptobibliothek GnuTLS betroffen. Das geht aus dem bereits verfügbaren Changelog für Version 2.1.5 hervor. Demnach wurde der Fehler über die Aktualisierung der Abhängigkeit zu GnuTLS behoben. Das Update steht in Binärform allerdings noch nicht offiziell bereit.

Im Quellcode ist der entsprechende Patch seit vier Wochen verfügbar. Damit reagierte Jean-Baptiste Kempf, einer der Hauptentwickler des VLC-Players, zwar nur drei Tage nach der Sicherheitsaktualisierung von GnuTLS auf diese. An die meisten Nutzer wurde das Update aber bisher nicht weitergereicht, da eine offizielle Binärversion noch nicht zur Verfügung steht.

Der Fehler in GnuTLS betrifft alle Anwendungen, die die Bibliothek als Basis verwenden, so auch den VLC-Player. Um die Sicherheitslücke auszunutzen, muss die Anwendung dazu gebracht werden, eine verschlüsselte Verbindung mit einem präparierten Server aufzubauen. Durch eine überlange Session-ID kann ein Pufferüberlauf in der Client-Anwendung ausgelöst werden. Darüber ließe sich dann unter Umständen beliebiger Code auf dem Rechner des Opfers ausführen oder die Anwendung stürzt einfach ab.

Die zuletzt veröffentlichte Version 2.1.4 des VLC-Players erschien im Februar 2014. Neben dem GnuTLS-Fehler wird mit dem anstehenden Update auch ein Denial-of-Service-Angriff in der Bibliothek Libpng behoben. Wann das Update für den VLC-Player erscheint, und warum dieses so viel Zeit in Anspruch nimmt, ist derzeit nicht bekannt.


eye home zur Startseite
crmsnrzl 02. Jul 2014

Was nützt das meiner Mutter (e.g.) wenn du dir privat eine eigene GUI gebastelt hast?

elgooG 02. Jul 2014

Ja, da hast du recht. Zumindest bei Debian & Derivaten wie Ubuntu verwendet VLC natürlich...

aFrI 01. Jul 2014

Es ist halt inkludiert und damit anfällig in diesem speziellen Szenarien.. Und es wird...

Spaghetticode 01. Jul 2014

Für alle anderen ist 2.1.3 die aktuelle Version.

WS 30. Jun 2014

Na das freut uns :)



Anzeige

Stellenmarkt
  1. Wüstenrot Immobilien GmbH, Ludwigsburg
  2. BG-Phoenics GmbH, Hannover
  3. mobileX AG, München
  4. über JobLeads GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 13,98€ + 5,00€ Versand

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Yodobashi und Bic Camera: Im Rausch der Netzwerkkabel
Yodobashi und Bic Camera
Im Rausch der Netzwerkkabel
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Preisschild Media Markt nennt 7.998-Euro-Literpreis für Druckertinte

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. id Software "Global Illumination ist derzeit die größte Herausforderung"
  2. In eigener Sache Golem.de führt kostenpflichtige Links ein
  3. In eigener Sache Golem.de sucht Marketing Manager (w/m)

Vernetzte Hörgeräte und Hearables: Ich filter mir die Welt widdewiddewie sie mir gefällt
Vernetzte Hörgeräte und Hearables
Ich filter mir die Welt widdewiddewie sie mir gefällt
  1. Polar Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung
  2. The Dash Pro Bragis Drahtlos-Ohrstöpsel können jetzt auch übersetzen
  3. Beddit Apple kauft Schlaf-Tracker-Hersteller

  1. Re: Ist doch Standard

    amagol | 19:09

  2. Re: Noch ein Argument

    plutoniumsulfat | 19:04

  3. Diese ganzen Online DLCs nerven langsam!

    christi1992 | 18:58

  4. Re: Volumenbegrenzungen abschaffen

    amagol | 18:57

  5. Re: Riesenerfolg von GTA 5 Online

    TC | 18:56


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel