Sicherheitsupdate für VLC Mediaplayer
Eine neue Version des VLC media player schließt eine kritische Lücke in der Windows-Version, über die bösartige Webseiten Code einschleusen und ausführen können.
- Daniel Bachfeld
Eine neue Version des VLC media player schließt eine kritische Lücke in der Windows-Version. Der Fehler findet sich im ActiveX-Control (axvlc.dll) für den Internet Explorer. Aufgrund der unzureichenden Überprüfung übergebener Parameter kann eine bösartige Webseite Speicherbereiche überschreiben und so möglicherweise Code einschleusen und ausführen.
Betroffen sind die Versionen 0.8.6 bis einschließlich 0.8.6c. Versionen vor 0.8.6 sind nicht verwundbar. In Version 0.8.6d ist der Fehler beseitigt, vorkompilierte Binaries stehen auf den VLC-Seiten bereits zum Download bereit. Alternativ können Anwender auch auf Mozilla-basierende Browser wie Firefox und Seamonkey umsteigen und das VLC-Plug-in dafür nutzen.
Siehe dazu auch:
- Recursive plugin release vulnerability in Active X plugin, Fehlerbericht von VLC
- VLC Activex Bad Pointer Initialization Vulnerability, Fehlerbericht von Core Security
(dab)