Erneut kritische Sicherheitslücken im VLC Mediaplayer

Im unter anderem für Linux, Mac OS und Windows erhältlichen VLC Mediaplayer wurden zwei als kritisch eingestufte Sicherheitslücken gefunden. Eine der beiden ist bereits seit dem Sommer bekannt und lässt sich bei der Wiedergabe von Daten mit VLC ausnutzen; über die zweite Lücke kann ein Angreifer von einem anderen System aus VLC unter seine Kontrolle bringen.

Bei der ersten Lücke handelt es sich um einen Buffer Overflow bei der Verarbeitung der Untertitel. Auf dieses Problem waren die Entwickler bereits Ende Juni aufmerksam gemacht worden und hatten es im Quellcodeverwaltungssystem alsbald korrigiert. Aber nur in der Entwicklungslinie, aus der irgendwann ein VLC mit einer Versionsnummern jenseits von 0.8.6 hervorgeht, und nicht in den 0.8.6 Entwicklungslinie -- auf dieser basieren aber alle in den vergangenen Monaten freigegebenen neuen Versionen, daher fehlt die Korrektur auch im erst Anfang dieses Monats freigegebenen Sicherheitsupdate 0.8.6d.

Der laut dem Fehlerbericht in der Standardeinstellung laufende Mini-Web-Server zur Kontrolle von VLC über den Webbrowser eines anderen Rechners ist für die zweite Lücke verantwortlich; der Code zur Kontrolle der Übertragungsparameter übergibt die vom Client gesendeten Daten ohne eine ausreichende Prüfung an eine andere Funktion weiter (format string in the web interface). Dadurch ist es möglich, Schadcode in den Speicher zu schreiben und zu starten. Dass der Server nach Ausführen dieser Funktion noch einige von ihr zurückgelieferte Informationen an den Client zurück gibt, kann einem Angreifer die Arbeit beim Ausnutzen der Lücke noch Erleichtern.

Auch dieser Fehler wurde im VLC-Quellcodeverwaltungsystem behoben. Eine neue Version, die diese Lücken korrigiert, ist allerdings noch nicht erhältlich. Die Entwickler erwägen gerade im Rahmen einer Diskussion um ein weiteres potentielles Sicherheitsproblem die Veröffentlichung einer Version 0.8.6e Anfang Januar. (thl)