Sicherheitslücken in VLC Mediaplayer gestopft

In der jetzt verfügbaren Version 0.8.6e des VLC Mediaplayer haben die Entwickler der OpenSource-Software mehrere Sicherheitslecks abgedichtet. Angreifer konnten dadurch beispielsweise mit manipulierten Realtime-Datenströmen oder präparierten Videodateien Schadcode einschleusen und ausführen.

Laut der Ankündigung der VLC-Programmierer enthält die aktuelle Version den Fehler beim Dekodieren von präparierten Realtime-Datenströmen (RTSP) nicht mehr, durch den aufgrund fehlender Längenprüfungen ein Pufferüberlauf auf dem Heap auftreten konnte. Zwei weitere Sicherheitslücken waren im Untertitel-Demuxer und in der Bedienoberfläche der Software vorhanden, die Angreifer ebenfalls zum Einschleusen fremden Codes missbrauchen konnten.

Die neue Version behebt zudem einen Fehler im MP4-Demuxer, der beim Verarbeiten manipulierter MP4-Dateien beliebige Speicherbereiche überschreiben konnte, da die Software einige Tags in den Dateien vor Kopieraktionen nicht überprüft hat. Das konnte zur Ausführung von Schadcode oder zum Absturz des Programms führen.

Die Fehler betreffen den VLC Mediaplayer in Version 0.8.6d und vorhergehende Fassungen. Nutzer des VLC Mediaplayer sollten die Version 0.8.6e rasch herunterladen und installieren, fertig kompilierte Pakete etwa für Windows stehen auf der Projekt-Homepage zum Download bereit. Die Linux-Distributoren dürften in Kürze ebenfalls aktualisierte Pakete ausliefern.

Siehe dazu auch:

• VLC media player chunk context validation error, Sicherheitsmeldung von Core Security
• Format string vulnerability in the Web interface; Stack-based buffer overflow in the Subtitles demuxer; String buffer overflows in the Real RTSP demuxer, Fehlermeldung der VLC-Programmierer
• Arbitrary memory overwrite in the MP4 demuxer, Fehlerbericht der VLC-Entwickler
• Ankündigung und Übersicht über die Änderungen in VLC Mediaplayer 0.8.6e von den VLC-Entwicklern
• Homepage mit Download der aktuellen Version des VLC Mediaplayer

(dmk)