VLC 1.1.10 schließt kritische Lücken
Das VLC-Entwicklerteam hat einige seit über einem Monat bekannte Lücken in seinem quelloffenen Mediaplayer geschlossen und an der Stabilität gefeilt.
- Ronald Eikenberg
Das VLC-Entwicklerteam hat mit Version 1.1.10 eine kritische Integer-Overflow-Lücke bei der Verarbeitung von XSPF-Playlisten geschlossen, durch die Angreifer Code ins System einschleusen können. Hierzu muss der Angreifer das Opfer lediglich dazu bringen, eine präparierte XSPF-Playlist zu öffnen. Das XSPF-Format basiert auf XML und dient dem Austausch von Wiedergabelisten. In der Windows- und Mac-OS-X-Portierung wurde zudem die verwundbare Version der libmodplug-Bibliothek auf den neuesten Stand gebracht. Secunia hat bereits vor über einem Monat auf diese Schwachstellen hingewiesen.
Die Entwickler haben unter anderem auch weitere Bibliotheken aktualisiert, diverse Übersetzungen überarbeitet und den Linux-Soundserver PulseAudio verbessert. Der Versionscheck innerhalb von VLC hält die verwundbare Version 1.1.9 derzeit noch für aktuell. Da das Update kritische Lücken schließt, sollte man umgehend auf die neue Version umsteigen.
Siehe dazu auch:
- VLC media player im heise Software-Verzeichnis
(rei)
