VLC kämpft mit Lücken und betrügerischen Klonen
VLC-Entwickler Ludovic Fauvet sieht sich hilflos im Kampf gegen Kriminelle, die VLC zur Verbreitung von Malware nutzen. Aber auch Nutzer der offiziellen Version 1.1.10 müssen vorsichtig sein, da sie zwei kritische Sicherheitslücken aufweist.
- Ronald Eikenberg
VLC-Entwickler Ludovic Fauvet warnt in seinem Blog vor mit Malware gespickten Forks der Anwendung, die auf dem VLC-Quellcode basieren. Die illegalen VLC-Klone werden auf professionell gestalteten Webseiten zum Download angeboten, "funktionieren jedoch nicht wie erwartet, lassen sich nicht deinstallieren und verletzten die Privatsphäre der Anwender", erklärt der Entwickler. Fauvet hat eine ganze Liste von Seiten veröffentlicht, die Schindluder mit dem geistigen Eigentum des VLC-Entwicklerteams treiben.
(Bild: heise Security)
Die Kriminellen nutzen Googles Werbeprogramm AdWords, um ihre präparierte Software neben den Suchergebnissen zu VLC Media Player zu promoten. Laut Fauvet werden auch andere Open-Source-Projekte auf diese Weise missbraucht: "Wir können wenig dagegen tun. Die Kriminellen haben das Geld, um AdWords zu kaufen, wir nicht. Als Non-Profit-Organisation haben wir auch nicht das Geld, um sie zu verklagen. Wir versuchen ständig, unser geistiges Eigentum im Sinne unserer Nutzer zu schützen." Zur eigenen Sicherheit soll man sich VLC ausschließlich auf der offiziellen Projektseite herunterladen.
Aber auch mit der dort aktuell angebotenen Version 1.1.10 ist man in Gefahr, da sie zwei kritische Sicherheitslücken aufweist. Durch einen Heap-Overflow in den Demuxern für AVI und RealMedia kann man sein System beim Öffnen verseuchter Dateien in den beiden Formaten mit Schadcode infizieren. Für verseuchte AVI-Dateien sind die VLC-Versionen 0.5.0 bis zur aktuellen 1.1.10 anfällig, die Lücke im RealMedia-Demuxer betrifft VLC 1.1.0 bis hin zu aktuellen 1.1.10.
Abhilfe schafft die Version 1.1.11, die in Kürze erscheinen soll. Bis dahin kann man sich damit behelfen, die beiden Demuxer (unter Windows "libmux_avi_plugin.dll" und "libaccess_realrtsp_plugin.dll") aus dem Plugins-Ordner von VLC zu löschen – was allerdings dazu führt, dass VLC die beiden Formate nicht mehr abspielen kann.
[Update]Inzwischen ist VLC in Version 1.1.11 verfügbar. Die Entwickler haben die beiden kritischen Lücken wie angekündigt geschlossen und diverse Detailverbesserungen vorgenommen.[/Update] (rei)
