VideoLAN führt Code aus Mediendateien aus
Der VLC media player kann durch Fehler bei der Verarbeitung manipulierter Mediendateien fremden Code ausführen.
Die Entwickler des quelloffenen VLC media player haben die Version 0.8.6c veröffentlicht, die einige Sicherheitslücken beim Abspielen präparierter Mediendateien schließt. In einer Sicherheitsmeldung erläutern sie, dass die Unterstützungsmodule für die Formate Ogg Vorbis und Theora, CD Digital Audio (CDDA) und für das Service Announce Protocol (SAP) so genannte Format-String-Schwachstellen enthalten.
Dadurch können manipulierte .ogg/.ogm-Dateien, präparierte CDDB-Einträge und beispielsweise Netzwerkpakete im Service-Announce/Discovery-Protokoll an die Broadcast-Adresse eines lokalen Netzes schädlichen Programmcode einschleusen, der mit den Rechten des Anwenders zur Ausführung kommt. Die VideoLAN-Programmierer stufen die Lücken daher als kritisch ein und empfehlen, die installierte Version des VLC media player auf die aktuelle Fassung 0.8.6c zu aktualisieren.
Siehe dazu auch:
- Download der aktuellen Version des VLC media player für verschiedene Plattformen
- Format string injection in Vorbis, Theora, SAP and CDDA plugins, Sicherheitsmeldung der VLC-Entwickler
(dmk)