kritische Sicherheitslücke in VLC 1.1.5 entdeckt

[sce87]

Kritische Sicherheitslücke in VLC 1.1.5 entdeckt

 

Im Media-Player VLC in der Version 1.1.5 wurde eine möglicherweise kritische Sicherheitslücke gefunden. Unter Umständen könnte diese Schwachstelle zum Ausführung von Schadcode verwendet werden.

 

Technisch gesehen könnte ein Integer-Overflow ausgelöst werden, der wiederum zu einen Heap-basierten Overflow führen könnte. Zurückzuführen sei dies den bisherigen Analysen zufolge auf einen Fehler beim Parsen ungültiger Header von Real-Media-Dateien.

 

Das Videolan-Team hat bereits in dem Security Advisory 1007 darauf reagiert. Dort heißt es unter anderem, dass es noch unklar sei, ob sich durch diese Problematik auch Schadcode ausführen lässt.

 

Zum Ausnutzen der Schwachstelle muss ein Opfer eine entsprechend präparierte Datei öffnen. Allen Nutzern mit anfälligen VLC-Versionen (bis einschließlich 1.1.5) wird empfohlen, keine Dateien aus unbekannten Quellen auszuführen.

 

Alternativ kann auch das Real-Demuxer-Plugin (libreal_plugin.*) deaktiviert werden. Wann ein offizielles Update von den Entwicklern veröffentlicht wird, teilte das Videolan-Team bisher nicht näher mit. Der Quellcode von VLC 1.1.6 steht bereits zum Download bereit.

 

Quelle: winfuture.de