Wieder Lücke in VLC media player
Ein Heap Overflow bei der Verarbeitung von Real Media lässt sich zum Einschleusen und Starten von Code ausnutzen. Ein Update ist zwar angekündigt, Anwender sollten jedoch alternative Medienspieler in Erwägung ziehen.
- Daniel Bachfeld
Eine Lücke im VLC media player lässt sich ausnutzen, um über präparierte Real-Media-Dateien Schadcode in einen Rechner zu schleusen und zu starten. Das Opfer muss dafür eine Real-Media-Datei herunterladen und öffnen oder eine Webseite besuchen, die einen manipulierten Real-Media-Stream sendet.
Ursache des Problems ist laut Beschreibung ein Heap Overflow in modules\demux\real.c. Das Update auf Version 0.9.7 soll die Lücke beheben. Alternativ können Anwender auch das Demuxer-Plug-in libreal_plugin.* aus dem Installationsordner entfernen, um erfolgreiche Angriffe zu verhindern.
Angesichts der sich in letzter Zeit häufenden kritischen Lücken in VLC sollten Anwender erwägen, einen anderen Medienspieler einzusetzen. Allerdings ist VLC insbesondere aufgrund seiner Netzwerk- und Streaming-Fähigkeiten nur schwer zu ersetzen. Wer diese Funktionen jedoch nicht benötigt und nur einen Player zum Abspielen lokal gespeicherter Filme benötigt, sollte sich die kostenlosen Player im heise Download-Verzeichnis anschauen.
- VLC media player RealMedia Processing Integer, Fehlerbericht von Tobias Kleinz
- Buffer overflow in Real demuxer, Fehlerbericht von VLC
(dab)
