Videolan: GnuTLS-Lücke bedroht weiterhin VLC-Nutzer
Der VLC-Player ist bis zur aktuellen Version 2.1.4 von einem Fehler in der Kryptobibliothek GnuTLS betroffen. Das geht aus dem bereits verfügbaren Changelog für Version 2.1.5(öffnet im neuen Fenster) hervor. Demnach wurde der Fehler über die Aktualisierung der Abhängigkeit zu GnuTLS behoben. Das Update steht in Binärform allerdings noch nicht offiziell bereit.
Im Quellcode(öffnet im neuen Fenster) ist der entsprechende Patch seit vier Wochen verfügbar. Damit reagierte Jean-Baptiste Kempf, einer der Hauptentwickler des VLC-Players, zwar nur drei Tage nach der Sicherheitsaktualisierung von GnuTLS auf diese. An die meisten Nutzer wurde das Update aber bisher nicht weitergereicht, da eine offizielle Binärversion noch nicht zur Verfügung steht.
Der Fehler in GnuTLS betrifft alle Anwendungen, die die Bibliothek als Basis verwenden, so auch den VLC-Player. Um die Sicherheitslücke auszunutzen, muss die Anwendung dazu gebracht werden, eine verschlüsselte Verbindung mit einem präparierten Server aufzubauen. Durch eine überlange Session-ID kann ein Pufferüberlauf in der Client-Anwendung ausgelöst werden. Darüber ließe sich dann unter Umständen beliebiger Code auf dem Rechner des Opfers ausführen oder die Anwendung stürzt einfach ab.
Die zuletzt veröffentlichte Version 2.1.4 des VLC-Players erschien im Februar 2014. Neben dem GnuTLS-Fehler wird mit dem anstehenden Update auch ein Denial-of-Service-Angriff in der Bibliothek Libpng behoben. Wann das Update für den VLC-Player erscheint, und warum dieses so viel Zeit in Anspruch nimmt, ist derzeit nicht bekannt.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.