Abo
  • Services:
Anzeige
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen.
GnuTLS-Lücke lässt sich im VLC-Player ausnutzen. (Bild: Videolan)

Videolan: GnuTLS-Lücke bedroht weiterhin VLC-Nutzer

Die seit einigen Wochen bekannte Lücke in der Kryptobibliothek GnuTLS kann noch immer im VLC-Player ausgenutzt werden. Der Code ist bereits gepatcht, die Binärversion steht aber noch nicht bereit.

Anzeige

Der VLC-Player ist bis zur aktuellen Version 2.1.4 von einem Fehler in der Kryptobibliothek GnuTLS betroffen. Das geht aus dem bereits verfügbaren Changelog für Version 2.1.5 hervor. Demnach wurde der Fehler über die Aktualisierung der Abhängigkeit zu GnuTLS behoben. Das Update steht in Binärform allerdings noch nicht offiziell bereit.

Im Quellcode ist der entsprechende Patch seit vier Wochen verfügbar. Damit reagierte Jean-Baptiste Kempf, einer der Hauptentwickler des VLC-Players, zwar nur drei Tage nach der Sicherheitsaktualisierung von GnuTLS auf diese. An die meisten Nutzer wurde das Update aber bisher nicht weitergereicht, da eine offizielle Binärversion noch nicht zur Verfügung steht.

Der Fehler in GnuTLS betrifft alle Anwendungen, die die Bibliothek als Basis verwenden, so auch den VLC-Player. Um die Sicherheitslücke auszunutzen, muss die Anwendung dazu gebracht werden, eine verschlüsselte Verbindung mit einem präparierten Server aufzubauen. Durch eine überlange Session-ID kann ein Pufferüberlauf in der Client-Anwendung ausgelöst werden. Darüber ließe sich dann unter Umständen beliebiger Code auf dem Rechner des Opfers ausführen oder die Anwendung stürzt einfach ab.

Die zuletzt veröffentlichte Version 2.1.4 des VLC-Players erschien im Februar 2014. Neben dem GnuTLS-Fehler wird mit dem anstehenden Update auch ein Denial-of-Service-Angriff in der Bibliothek Libpng behoben. Wann das Update für den VLC-Player erscheint, und warum dieses so viel Zeit in Anspruch nimmt, ist derzeit nicht bekannt.


eye home zur Startseite
crmsnrzl 02. Jul 2014

Was nützt das meiner Mutter (e.g.) wenn du dir privat eine eigene GUI gebastelt hast?

elgooG 02. Jul 2014

Ja, da hast du recht. Zumindest bei Debian & Derivaten wie Ubuntu verwendet VLC natürlich...

aFrI 01. Jul 2014

Es ist halt inkludiert und damit anfällig in diesem speziellen Szenarien.. Und es wird...

Spaghetticode 01. Jul 2014

Für alle anderen ist 2.1.3 die aktuelle Version.

WS 30. Jun 2014

Na das freut uns :)



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Abstatt
  2. T-Systems International GmbH, Leinfelden-Echterdingen, München
  3. Robert Bosch GmbH, Ludwigsburg
  4. operational services GmbH & Co. KG, Frankfurt


Anzeige
Blu-ray-Angebote
  1. (u. a. The Revenant 7,97€, James Bond Spectre 7,97€, Der Marsianer 7,97€)
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)

Folgen Sie uns
       


  1. Light L16

    Kamera mit 16 Kameramodulen soll DSLRs ersetzen

  2. Yara Birkeland

    Autonomes Containerschiff soll elektrisch fahren

  3. Airport Guide Robot

    LG lässt den Flughafenroboter los

  4. Biometrische Erkennung

    Delta lässt Passagiere mit Fingerabdruck boarden

  5. Niantic

    Keine Monster bei Pokémon-Go-Fest

  6. Essential Phone

    Rubins Smartphone soll "in den kommenden Wochen" erscheinen

  7. Counter-Strike Go

    Bei Abschuss Ransomware

  8. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  9. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  10. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Neuer A8 vorgestellt: Audis Staupilot steckt noch im Zulassungsstau
Neuer A8 vorgestellt
Audis Staupilot steckt noch im Zulassungsstau
  1. Autonomes Fahren Continental will beim Kartendienst Here einsteigen
  2. Verbrenner Porsche denkt über Dieselausstieg nach
  3. Autonomes Fahren Audi lässt Kunden selbstfahrenden A7 testen

Anker Powercore+ 26800 PD im Test: Die Powerbank für (fast) alles
Anker Powercore+ 26800 PD im Test
Die Powerbank für (fast) alles
  1. Toshiba Teures Thunderbolt-3-Dock mit VGA-Anschluss
  2. Asus Das Zenbook Flip S ist 10,9 mm flach
  3. Anker Powercore+ 26800 PD Akkupack liefert Strom per Power Delivery über USB Typ C

  1. Re: Längster Tunnel der Welt:

    thinksimple | 08:50

  2. Re: Unsinnige Überschrift

    gadthrawn | 08:48

  3. Deswegen ist der E-Golf ja auch meist verkauft

    flasherle | 08:46

  4. Re: Cloud?

    TheArchive | 08:44

  5. Re: was raucht der Mann

    thinksimple | 08:43


  1. 07:25

  2. 07:14

  3. 15:35

  4. 14:30

  5. 13:39

  6. 13:16

  7. 12:43

  8. 11:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel