VLC 1.0.6 erhöht Stabilität und schließt Lücken
Zu den Lücken gehören Heap Overflows in den Audi-Decodern für DTS, MPEG und A/53 sowie Speicherzugriffsfehler in den AVI-, ASF- und Matroska-Demuxern.
- Daniel Bachfeld
Version 1.0.6 des freien Medienspielers und -Streamers VLC media player beseitigt neun Sicherheitslücken und verbessert die Stabilität. Alle gefundenen Lücken wurden von den Entwickler im Rahmen der Arbeit an der kommenden Version 1.1.0 entdeckt. Zu den Lücken gehören Heap Overflows in den Audio-Decodern für DTS, MPEG und A/53 sowie Speicherzugriffsfehler in den AVI-, ASF- und Matroska-Demuxern.
Einige der Fehler lassen sich vermutlich zum Einschleusen und Ausführen von Code durch präparierte Media-Dateien ausnutzen. Dazu muss das Opfer solch eine Datei aber selbst herunterladen und öffnen – beispielsweise ein manipulierter Film von einem Filehoster.
Das Modul für Real Time Messaging Protocol (RTMP) wurde aus Sicherheitsgründen ganz entfernt, erst in Version 1.1.0 soll ein auf ffmpeg basierender Input-Filter wieder enthalten sein. Eine vollständige Liste aller Änderungen ist hier zu finden: VLC media player 1.0.6 source. Die neue Version steht bislang nur als Quelltext bereit. Die Binaries für Windows und Mac OS X dürften jedoch in Kürze folgen.
Die kommende Version 1.1.0 "The Luggage" unterstützt erstmals das Decoding etwa von H.264, VC-1/WMV und MPEG-Videos mit Hilfe der Grafikkarte unter Windows Vista, Windows 7 und Linux.
Siehe dazu auch:
(dab)
