zurück zum Artikel

Angreifer können aufgrund von Sicherheitslücken im VLC-Player die Speicherverwaltung überlisten und beliebigen Code ausführen. Obwohl die Lücken bereits seit Ende vergangenen Jahres bekannt sind, lässt die finale abgesicherte Version noch auf sich warten.

Die aktuelle Ausführung des Medienplayers VLC (2.1.5) weist zwei Schwachstellen auf, über die Angreifer einen Speicherfehler verursachen und beliebigen Code ausführen könnten. Auf die Lücken wies der Sicherheitsexperte Veysel Hatas die VLC-Entwickler bereits Ende vergangenen Jahres hin [1]. Der Experte stuft die Sicherheitslücken als kritisch ein.

Hatas zufolge gelingt der Angriff mittels präparierter Flash- und MPEG-V2-Videos. Im Verlauf eines erfolgreichen Tests setzte er das Betriebssysteme Windows XP SP3 x86 ein. Wie Hatas gegenüber heise Security mitteilte, sei das Angriffsszenario aber auch unter Windows 7 x64 reproduzierbar.

Das VLC-Team hat indes die Fehlerbeschreibung im hauseigenen Bugtracker [2] mit der Begründung geschlossen, dass die Sicherheitslücke in der Codec-Bibliothek Libavcodec von FFmpeg zu suchen sei. Im Bugtracker von FFmpeg ist wiederum kein entsprechender Eintrag zu finden [3].

VLC zufolge sollen die Sicherheitslücken aufgrund einer neuen Codec-Bibliothek in der angekündigten Version 2.2.0 geschlossen sein – diese ist aber bisher nur in einer Vorabversion verfügbar [4]. (des [5])

URL dieses Artikels:
https://www.heise.de/-2535794

Links in diesem Artikel:
[1] http://seclists.org/fulldisclosure/2015/Jan/72
[2] https://trac.videolan.org/vlc/ticket/13390
[3] https://trac.ffmpeg.org/query?status=new&status=open&status=reopened&col=id&col=summary&col=status&col=type&col=component&col=version&col=time&col=changetime&order=priority&report=1
[4] http://download.videolan.org/pub/videolan/testing/vlc-2.2.0-rc2/win32/
[5] mailto:des@heise.de

Copyright © 2015 Heise Medien