Der Sicherheitsforscher Vetsel Hayas hat auf Full Disclosure zwei Schwachstellen in einigen Versionen des VLC Media Player offengelegt, die Speicherkorruption und potenziell Ausführung beliebigen Codes erlauben. Es handelt sich zum einen um eine Zugriffsverletzungs-Schwachstelle der Datenausführungsverhinderung (DEP) und zum anderen um einen Fehler bei Schreibzugriffen.
Die als schwer eingestuften Schwachstellen wurden im November entdeckt und Ende Dezember dem VideoLAN Project gemeldet. Sie treten unter VLC Media Player 2.1.5 unter Windows XP SP3 auf. Dieses Betriebssystem wird von Microsoft nicht mehr unterstützt, ist aber weiter sehr verbreitet. Da die Fehler im Player stecken, könnten auch andere Windows-Versionen und theoretisch sogar andere Betriebssysteme betroffen sein. 2.1.5 ist die aktuelle Version für Desktops.
Die erste Schwachstelle lässt sich durch eine präparierte FLV-Datei (Flash) angreifen. Für die zweite können Angreifer eine M2V-Datei (MPEG V2) einschleusen, um in den Speicher zu schreiben und Code auszuführen. Hayas hat seiner Meldung als Beleg Beispielcode beigefügt.
Der verbreitete VLC Media Player ist das Erzeugnis des nicht kommerziellen VideoLAN-Projekts. Er läuft auf einer Vielzahl von Plattformen und beherrscht eine große Anzahl an Formaten, kommt aber auch mit DVDs, Audio-CDs, VCDs und diversen Streaming-Protokollen zurecht.
Für den VLC Media Player war 2014 ein besonders erfolgreiches Jahr. Durch eine Finanzierung auf Kickstarter konnte ein Ableger für die Kacheloberfläche von Windows 8 realisiert werden. Die Android-Version wurde im September zur Final erklärt. Aus Apples App Store war der VLC Media Player zwar im Herbst aus unbekannten Gründen verschwunden – möglicherweise ging es um strittige Lizenzen, wie Anfang 2011 schon einmal. In den ersten Tagen des Januar 2015 kehrte er aber – dann auch mit iOS-8-Support – zurück.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
