Lücke im VLC Media Player
Eine Schwachstelle in der Windows-Version der Software lässt sich nach Angaben des Sicherheitsdienstleisters Secunia möglicherweise ausnutzen, um ein System zu kompromittieren. Ein offizielles Update gibt es noch nicht.
- Daniel Bachfeld
Eine Schwachstelle in der Windows-Version des VLC media player lässt sich nach Angaben des Sicherheitsdienstleisters Secunia möglicherweise ausnutzen, um ein System zu kompromittieren. Dazu muss ein Angreifer ein Opfer dazu bringen, eine Playlist-Datei mit einer zu langen smb://-URI zu öffnen. Ursache des Problems ist ein Buffer Overflow in der Funktion Win32AddConnection in modules/access/smb.c.
Der Fehler wurde in der Version 0.9.9 entdeckt, andere Versionen enthalten den Fehler wahrscheinlich ebenfalls. Die VLC-Entwickler haben ihn im git-Repository zwar bereits behoben, bezeichnen ihn aber nur als DoS-Schwachstelle, der zum Absturz des Players führt. Offiziell steht weiterhin nur die Version 0.9.9 als Quellcode und als Binärpaket für Windows und Mac OS X zum Download bereit.
Siehe dazu auch:
- Fix a segfault (buffer overflow for win32 only)
- VLC Media Player SMB Input Module Buffer Overflow Vulnerability
(dab)