Erneut kritische Lücken im VLC media player
Beim Parsen präparierter CUE-Image-Dateien und RealText-Untertitel-Dateien können Buffer Overflows auftreten, durch die ein Angreifer seinen Code in ein System schleusen und mit den Rechten des Anwenders starten kann.
- Daniel Bachfeld
Ein Sicherheits-Update für den freien VLC media player soll zwei kritische Lücken schließen. Beim Parsen präparierter CUE-Image-Dateien und RealText-Untertitel-Dateien können Buffer Overflows auftreten, durch die ein Angreifer seinen Code in ein System schleusen und mit den Rechten des Anwenders starten kann. Dazu muss das Opfer aber eine manipulierte Datei öffnen.
Betroffen sind die Versionen von 0.5.0 bis einschließlich 0.9.5. Das Update auf Version 0.9.6 soll die Fehler beheben. Aktuell steht aber etwa für Windows immer noch nur die alte Version 0.9.4 zum Download bereit. Alternativ können Anwender die betroffenen Plugins (libvcd_plugin.* und libsubtitle_plugin.*) aus dem Installationsverzeichnis entfernen. Patches für ältere Versionen sollen nach Angaben der Entwickler im "0.9-bugfix"-Zweig des Repository zur Verfügung stehen.
Im laufenden Jahr mussten die VLC-Entwickler zahlreiche Sicherheitslücken schließen, die zumeist das Infizieren eines Rechners ermöglichten. Der Popularität der Software scheint dies jedoch keinen Abbruch zu tun. Auch die Online-Mediathek des ZDF unterstützt neben dem Windows Media Player und QuickTime weiterhin den VLC.
Siehe dazu auch:
- Buffer overflows in VLC RealText and CUE demuxers, Fehlerbericht von VLC
- VLC media player RealText Processing Stack Overflow, Fehlerbericht von Tobias Klein
- VLC media player cue Processing Stack Overflow, Fehlerbericht von Tobias Klein
(dab)
