Kritische LĂĽcken in aktueller VLC-Version
Die aktuelle VLC-Version 1.1.8 hat zwei kritische Lücken, durch die Angreifer Schadcode ins System einschleusen können. Da auch das Browser-Plugin betroffen ist, kann bereits der Besuch einer manipulierten Webseite ausreichen.
- Ronald Eikenberg
Die aktuelle Version 1.1.8 (und älter) des quelloffenen Medienabspielers VLC ist verwundbar: Durch zwei kritische Sicherheitslücken kann das System beim Öffnen von präparierten Mediendateien mit Schadcode infiziert werden. Da auch das Browser-Plugin betroffen ist, kann bereits der Besuch einer manipulierten Webseite ausreichen. Die Buffer-Overflow-Lücken befinden sich in den Plugins libmp4 und libmodplug. Angreifer können ihren Code in MP4- und S3M-Dateien verstecken.
Abhilfe soll die Version 1.1.9 schaffen, die allerdings noch nicht fertig ist. Die Entwickler empfehlen, bis zur Veröffentlichung der gepatchten Version keine Dateien aus unseriösen Quellen zu öffnen und auch beim Surfen Vorsicht walten zu lassen, was aber schwer in die Praxis umzusetzen sein dürfte. Wenn man die beiden Erweiterungen aus dem Plugin-Verzeichnis von VLC entfernt, ist das Programm nicht mehr verwundbar – und spielt die entsprechenden Formate allerdings auch nicht mehr ab. Wer unbehelligt im Netz unterwegs sein will, sollte zudem das Browser-Plugin deaktivieren. (rei)