Original-URL des Artikels: https://www.golem.de/1101/80405.html    Veröffentlicht: 01.01.2011 11:53    Kurz-URL: https://glm.io/80405

Videolan

Sicherheitslücke in VLC

Der Mediaplayer VLC enthält in der Version 1.1.5 eine möglicherweise kritische Sicherheitslücke. Ein Bufferoverflow könnte zum Ausführen von Code genutzt werden.

Ein Fehler beim Parsen ungültiger Header von Real-Media-Dateien in VLC kann genutzt werden, um einen Integer-Overflow auszulösen, der einen Heap-basierten Overflow auslösen kann. Derzeit sei unklar, ob sich darüber Code ausführen lasse, heißt es im Security Advisory 1007 des Videolan-Teams.

Um den Fehler auszunutzen, ist es notwendig, ein Opfer zum Öffnen einer präparierten Datei zu bringen. Daher sollten Nutzer mit verwundbaren VLC-Versionen bis einschließlich 1.1.5 keine Dateien aus unbekannten Quellen öffnen oder alternativ das Real-Demuxer-Plugin (libreal_plugin.*) entfernen.

VLC 1.1.6 soll den Fehler beheben, es steht derzeit aber nur im Quelltext zum Download bereit.  (ji)


Verwandte Artikel:
Video-LAN: VLC 1.1.5 schließt Sicherheitslücke   
(15.11.2010, https://glm.io/79384 )
VLC-Player in Version 1.0.2 erschienen   
(05.10.2009, https://glm.io/70236 )
Freier Media-Player: VLC 3.0 eint alle Plattformen   
(09.02.2018, https://glm.io/132646 )
Mediaplayer: VLC fürs iPad   
(21.09.2010, https://glm.io/78108 )
VLC, Kodi, Popcorn Time: Mediaplayer können über Untertitel gehackt werden   
(24.05.2017, https://glm.io/128020 )

© 1997–2020 Golem.de, https://www.golem.de/