Der quelloffene Media Player VLC ist in der neuen Version 0.86e verfügbar, in der die Entwickler sieben Sicherheitslücken geschlossen haben. Diese können in älteren Versionen zum Einschleusen von Malware ausgenutzt werden.
Die Entwickler des VLC Player (vormals VideoLAN Client) arbeiten eigentlich längst an der zukünftigen Produktgeneration 0.9, mussten nun jedoch einige der darin schon umgesetzten Verbesserungen und Korrekturen auf den alten, aber noch aktuellen Versionszweig 0.8 zurück portieren. Es gab in den letzten Monaten mehrere Meldungen über Sicherheitslücken in VLC Player 0.86d. In der jetzt veröffentlichten Version 0.86e haben die Entwickler insgesamt sieben Sicherheitslücken der Vorversion beseitigt sowie verschiedene Korrekturen eingepflegt).
Unter den beseitigten Schwachstellen sind drei Anfälligkeiten für Pufferüberlaufe bei Real-Videoströmen (RTSP - Real Time Streaming Protocol). Schuld daran soll eine veraltete Version der Xine Bibliothek sein, auf der der RTSP-Demuxer von VLC basiert. Auch im Demuxer für Untertitel stecken etliche Schwachstellen, die VLC anfällig machen für Pufferüberläufe durch spezielle präparierte Videodateien. Ein Formatfehler in der standardmäßig deaktivierten Web-Schnittstelle komplettiert die Sicherheitsmeldung SA-0801.
Eine weitere Anfälligkeit für Pufferüberläufe steckt im MP4-Demuxer von VLC bis Version 0.86d. Dieser widmen die Entwickler eine eigene Sicherheitsmeldung, SA-0802. Wie bei den anderen Sicherheitslücken könnte ein Angreifer mit speziell präparierten Videodateien beliebigen Code, einschleusen, zum Beispiel Malware.
Allen (auch gelegentlichen) Anwendern des VLC Player wird der Wechsel zur aktuellen Version 0.86e empfohlen. Der Download der Windows-Fassung beträgt etwa 9 MB. Die Fassungen für Mac OS (PPC und Intel) sind jeweils etwa 14 MB groß. Linux-Anwender müssen sich noch etwas in Geduld fassen, bis die Distributoren aktualisierte Pakete bereit stellen. Oft sind in den Distributionen völlig veraltete Version des VLC Player enthalten. Alternativ können sich versiertere Linux-Nutzer die Pakete selbst vom VLC-Server holen.
Quelle:
http://www.pcwelt.de/start/sicherhei...n/news/149338/
Zitieren
