Original-URL des Artikels: https://www.golem.de/news/libavcodec-fehler-erlauben-codeausfuehrung-in-vlc-codecbibliothek-1501-111816.html    Veröffentlicht: 20.01.2015 12:34    Kurz-URL: https://glm.io/111816

Libavcodec

Fehler ermöglichen Codeausführung in VLC-Codecbibliothek

Speziell präparierte Videodateien können zur Codeausführung unter anderem in VLC genutzt werden. Dessen Entwickler verhalten sich aber zurückhaltend, zudem werfen die Berichte einige Fragen auf.

Offenbar lassen sich zwei Lücken dazu ausnutzen, mit Hilfe speziell präparierter Videodateien bei der Verwendung des VLC-Players die Speicherverwaltung zu überlisten. Das wiederum könnte zum Ausführen von beliebigem Code durch Angreifer genutzt werden. Dem VLC-Team sind die Berichte seit knapp vier Wochen bekannt, wie es in der Mail zur öffentlichen Bekanntgabe heißt.

Doch nach einer nur relativ kurzen Diskussion im Bugtracker des Videolan-Projektes hat einer der Hauptentwickler sowohl den Fehlerbericht zur FLV-Datei als auch den zur M2V-Datei für weitere Debatten geschlossen. Zunächst noch mit der Begründung, dass die gefundenen Fehler nicht in VLC, sondern in der aus FFMpeg importierten Codec-Bibliothek Libavcodec zu suchen seien.

Darüber hinaus seien die Fehler aber auch nicht mehr in dem aktuellen Release Candidate der Version 2.2 vorhanden, deren finale Version in Kürze erscheinen solle. Ein genauer Termin ist dafür jedoch nicht bekannt. Daraus lässt sich auch schließen, dass die Fehler mit einer aktuellen Version von FFMpeg höchstwahrscheinlich nicht mehr auftreten. Vor allem diese Annahme macht die Fehlersuche für weitere Distributoren der Bibliothek schwierig.

Immerhin fehlen entsprechende Berichte zudem derzeit in dem Bugtracker von FFMpeg, so dass zumindest bis jetzt die Fehler noch nicht genau lokalisiert scheinen. Wegen der Fülle an unterstützten Codecs setzten neben VLC viele weitere Open-Source-Projekte die wohl betroffene Bibliothek ein, etwa der MPlayer. Ebenso kann das GStreamer-Framework per Plugin mit FFMpeg verwendet werden, und auch Googles Chrome kann auf diesen Code zurückgreifen.  (sg)


Verwandte Artikel:
Videolan: VLC Player für Windows Phone ist da   
(05.01.2015, https://glm.io/111429 )
Freier Media-Player: VLC 3.0 eint alle Plattformen   
(09.02.2018, https://glm.io/132646 )
Multimediabibliothek: FFmpeg dank Debian wieder in Ubuntu   
(21.11.2014, https://glm.io/110724 )
Video Codec: Libav integriert Wrapper für OpenH264-Encoder   
(07.01.2015, https://glm.io/111518 )
VLC, Kodi, Popcorn Time: Mediaplayer können über Untertitel gehackt werden   
(24.05.2017, https://glm.io/128020 )

© 1997–2020 Golem.de, https://www.golem.de/