Medienplayer VLC mit kritischer Krypto-Lücke

Eine Schwachstelle in GnuTLS kann offenbar auch VLC-Nutzern zum Verhängnis werden: Versucht der Mediaplayer einen Stream von einem präparierten Server zu öffnen, droht die Infektion mit Schadcode.

In Pocket speichern vorlesen Druckansicht 88 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Der Medienabspieler VLC ist bis zur aktuellen Version 2.1.4 anfällig für eine kritische Lücke in der Krypto-Bibliothek GnuTLS. Dies geht aus dem Changelog zur Folgeversion hervor, welche allerdings noch nicht als Binary zum Download bereitsteht. Die Lücke klafft in der ServerHello-Funktion von GnuTLS. Ein Server kann beim Client einen Pufferüberlauf auslösen, der sich sogar zum Einschleusen von Schadcode eignen soll. Passende Exploits kursieren bereits im Netz.

Um VLC zu attackieren, muss der Angreifer den Player dazu bringen, eine verschlüsselte Verbindung mit einem speziell präparierten Server aufzubauen; etwa über einen Link oder eine VLC-Playlist. Wann die abgesicherte Version 2.1.5 in installierbarer Form erscheint, ist derzeit noch unklar. Es dürfte sich aber nur noch um Tage handeln. Mit dieser Version beheben die Entwickler außerdem eine Denial-of-Service-Lücke in libpng sowie diverse Bugs. (rei)