Sicherheitsupdate: Flash-Datei kann VLC Player in Bedrängnis bringen

Im VLC Player klafft eine Schwachstelle. Angreifer könnten darüber Computer in Schach halten.

In Pocket speichern vorlesen Druckansicht 85 Kommentare lesen
Sicherheitsupdate: Flash-Datei kann VLC Player in Bedrängnis bringen

(Bild: Pixabay)

Lesezeit: 1 Min.

Die freie Mediaplayer-Software VLC ist verwundbar. Nutzen Angreifer die Sicherheitslücke (CVE-2018-11516) aus, sollen sie Schadcode mit den Nutzerrechten des Opfers ausführen können, warnen die Entwickler.

Damit eine Attacke erfolgreich ist, muss ein Angreifer einem Opfer eine präparierte Flash-Datei (.swf) unterjubeln und das Opfer muss diese mit einer angreifbaren Version des VLC Players öffnen. Auch das Öffnen eines Flash-Streams kann einen Angriff einleiten. Das führt dann zu einem Speicherfehler (heap use after free) in Demux(). Als Ergebnis stürzt der Player entweder ab oder Angreifer können Code zur Ausführung bringen.

Davon sind den Entwicklern zufolge alle Systeme und Versionen betroffen. Sie haben die Lücke in der Ausgabe 3.0.2 geschlossen.

Die Sicherheitsmechanismen Adress Space Randomisation (ASLR) und Data Execution Prevention (DEP) eines Betriebssystems können schützen, im Zweifel aber auch umgangen werden, zeigen die Entwickler auf. (des)