Sicherheitsupdates: LibVNCServer gegen Speicherfehler gerüstet
Seit über zwei Jahren hat die Programmbibliothek keine Updates spendiert bekommen. Nun schließen die Entwickler zwei Schwachstellen.
Wer die Programmbibliothek LibVNCServer/Client nutzt, sollte die abgesicherte Version 0.9.11 einspielen. In vorigen Ausgaben klaffen zwei Sicherheitslücken (CVE-2016-9941, CVE-2016-9942).
Angreifer sollen diese ohne Authentifizierung ausnutzen können, um Speicherfehler (heap-based buffer overflow) zu provozieren. Anschließend solle sie Clients lahmlegen oder im schlimmsten Fall Schadcode ausführen können. Das Notfallteam des BSI CERT Bund stuft das Risiko mit "mittel" ein. Für die Distribution Debian Jessie stehen die abgesicherten Versionen 0.9.9 (stable) und 0.9.11 (testing) zur Verfügung. (des)