Alert!

Kritische Sicherheitslücke in VLC Media Player

Ein Update steht für den VLC Media Player bereit, mit dem die Entwickler unter anderem eine kritische Sicherheitslücke schließen.

In Pocket speichern vorlesen Druckansicht 164 Kommentare lesen
Video,Displays

(Bild: Bruce Rolff/Shutterstock.com)

Lesezeit: 2 Min.
Von

Die jetzt freigegebene Version 3.0.18 des VLC Media Player schließt mehrere Sicherheitslücken. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, mit manipulierten Dateien oder Streams potenziellen Opfern Schadcode unterzuschieben.

VLC (Download) enthält ein vnc-Modul, das aufgrund eines möglichen Pufferüberlaufs Schadcode aus dem Netz ausführen könnte. Dazu müsse eine bösartige vnc-URL abgespielt werden (CVE-2022-41325). Solch eine URL kann auch in einer lokalen Datei enthalten sein, etwa einer m3u-Playlist. Der CVE-Eintrag zur Sicherheitslücke ist zum Meldungszeitpunkt noch nicht öffentlich. Das CERT Bund schätzt den CVSS-Wert jedoch auf 9.6 ein, was dem Risiko "kritisch" entspricht.

Die Sicherheitsmeldung von VideoLAN listet noch drei weitere Fehler auf, die VLC 3.0.18 korrigiert. Aufgrund einer möglichen Division-durch-Null bei der Verarbeitung könnte eine manipulierte MP4-Datei einen Denial of Service (DoS) auslösen. Bei mehreren Dateien konnte ein doppelt aufgerufenes free bereits freigegebene Ressourcen abermals versuchen, freizugeben, und so Abstürze der Software verursachen. Aufgrund einer Null-Pointer-Dereferenzierung könnte bei der Verarbeitung von präparierten .oog-Dateien ein Denial-of-Service auftreten.

Die VLC-Entwickler betonen, dass ihnen bislang keine Exploits bekannt seien, die die Schwachstellen missbrauchen. Als automatisches Update scheint die neue Fassung zum jetzigen Zeitpunkt noch nicht angeboten zu werden. Sie lässt sich aber auf der Download-Seite des Projekts etwa als Windows-Installer herunterladen. Linux-Nutzer müssen die Distributions-eigene Softwareverwaltung starten und dort das Update auf Version 3.0.18 suchen.

Lesen Sie dazu auch:

(dmk)