Aktuelle VLC-Version mit kritischer Lücke

Durch einen Fehler im ASF-Muxer kann Schadcode auf den Rechner gelangen. Nicht nur durch das Öffnen verseuchter Mediendateien, sondern auch beim Surfen.

In Pocket speichern vorlesen Druckansicht 128 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

In der aktuellen Version 2.0.5 des VLC Media Player und älteren klafft ein Sicherheitsloch, das sich potenziell zum Einschleusen von Schadcode eignet, warnen die Entwickler. Die Lücke befindet sich in der Funktion DemuxPacket() des ASF-Demuxers. Bei der Verarbeitung speziell präparierter ASF-Dateien kommt es zum Pufferüberlauf. Da VLC standardmäßig auch Browser-Plug-ins mitinstalliert, können solche Dateien auch auf Webseiten lauern, wo sie ohne Zutun des Nutzers ausgeführt werden.

Man sollte zum einen also besser auf das Öffnen von ASF-Dateien aus nicht vertrauenswürdigen Quellen verzichten und zum anderen das VLC-Plug-in innerhalb des Browsers abschalten. Alternativ kann man den verwundbaren ASF-Demuxer aus dem Plug-in-Ordner löschen. Unter Windows lautet der Dateipfad ausgehend vom Programmordner in \VLC\plugins\demux\libasf_plugin.dll. Die Entwickler haben eine abgesicherte Version 2.0.6 in Aussicht gestellt, die in Kürze erscheinen soll. (rei)