VLC gewährt Schadcode Einlass

Version 1.1.12 (und älter) des quelloffenen Multimediaplayers VLC enthält eine kritische Lücke, durch die ein Angreifer das System mit Schadcode infizieren kann. Die Buffer-Overflow-Lücke befindet sich im TiVo-Demuxer, der Code wird beim Abspielen einer verseuchten Videodatei ausgeführt. Da auch das Browser-Plugin verwundbar ist, genügt unter Umständen auch schon der Besuch einer speziell präparierten Webseite.

Abhilfe soll das in Kürze erscheinende Update auf Version 1.1.13 schaffen, das zudem weitere, nicht sicherheitsrelevante Bugs beseitigt. Wer auf die TiVo-Unterstützung verzichten kann und sofort handeln möchte, löscht das verwundbare Plugin (libty_plugin.*) einfach aus dem Plugin-Verzeichnis. Windows-Nutzer können die Datei durch eine fehlerbereinigte Version ersetzen. (rei)