Sicherheitsupdates: LibVNCServer gegen Speicherfehler gerĂĽstet
Seit ĂĽber zwei Jahren hat die Programmbibliothek keine Updates spendiert bekommen. Nun schlieĂźen die Entwickler zwei Schwachstellen.
Wer die Programmbibliothek LibVNCServer/Client nutzt, sollte die abgesicherte Version 0.9.11 einspielen. In vorigen Ausgaben klaffen zwei SicherheitslĂĽcken (CVE-2016-9941, CVE-2016-9942).
Angreifer sollen diese ohne Authentifizierung ausnutzen können, um Speicherfehler (heap-based buffer overflow) zu provozieren. Anschließend solle sie Clients lahmlegen oder im schlimmsten Fall Schadcode ausführen können. Das Notfallteam des BSI CERT Bund stuft das Risiko mit "mittel" ein. Für die Distribution Debian Jessie stehen die abgesicherten Versionen 0.9.9 (stable) und 0.9.11 (testing) zur Verfügung. (des)
