Month of Apple Bugs: Loch im VLC Media Player [Update]

Nach der kritischen Lücke in Apples Quicktime folgt im Rahmen des Month of Apple Bugs (MOAB) nun eine kritische Lücke im alternativen VLC Media Player. Betroffen ist unter anderem Apples Betriebssystem Mac OS X. Zwar tritt der Fehler auch auf anderen Plattformen auf, zumindest wurde die Schwachstelle auch für Windows bestätigt; aber darum geht es den Initiatoren nicht, vielmehr wollen sie zeigen, dass Mac OS X und dafür entwickelte Anwendungen nicht per se von kritischen Sicherheitslecks ausgeschlossen sind.

Die nun bekannt gemachte Lücke resultiert aus einer Format-String-Schwachstelle bei der Verarbeitung der URI udp://. Durch Angabe einer speziellen Zeichenkette lässt sich Code einschleusen und mit den Rechten des angemeldeten Nutzers ausführen. Zuvor muss das Opfer jedoch die präparierte URL an den VLC Media Player übergeben, je nach Konfiguration des Systems kann dazu schon ein Klick auf einen Link oder der Aufruf einer Playlist genügen. Die Entdecker der Lücke haben Exploits in Perl zur Verfügung gestellt, die auf der PPC- und der x86-Plattform für Mac OS X demonstrieren sollen, wie einfach sich die Rücksprungadresse auf dem Stack verbiegen lässt.

Betroffen ist VLC 0.8.6, wahrscheinlich auch vorherige Versionen und weitere Betriebssysteme. Einen Patch gibt es derzeit nicht. Als Workaround schlägt der Fehlerbericht zur Lücke vor, den udp://-URL-Handler zu deaktivieren oder VLC zu deinstallieren.

[Update]
Für die VLC-Lücke stehen mittlerweile Patches bereit, um die Lücke zu schließen. Bei VLC haben die Entwickler eine fehlerbereinigte Version in das CVS eingepflegt. Zusätzlich stellt der Maintainer von MacPorts (vormals DarwinPorts) Landon Fuller einen Patch im Quellcode und als Binary bereit.

Für die Quicktime-Lücke gibt es noch keinen offiziellen Patch, aber auch hier stellt Fuller eigene Patches zur Vefügung, die das Problem beheben sollen.

Siehe dazu auch:

• VLC Media Player udp:// Format String Vulnerability, Fehlerbericht auf MOAB

(dab)