Der Sicherheitsforscher Vetsel Hayas hat auf Full Disclosure zwei Schwachstellen in einigen Versionen des VLC Media Player offengelegt, die Speicherkorruption und potenziell Ausführung beliebigen Codes erlauben. Es handelt sich zum einen um eine Zugriffsverletzungs-Schwachstelle der Datenausführungsverhinderung (DEP) und zum anderen um einen Fehler bei Schreibzugriffen.
Die als schwer eingestuften Schwachstellen wurden im November entdeckt und Ende Dezember dem VideoLAN Project gemeldet. Sie treten unter VLC Media Player 2.1.5 unter Windows XP SP3 auf. Dieses Betriebssystem wird von Microsoft nicht mehr unterstützt, ist aber weiter sehr verbreitet. Da die Fehler im Player stecken, könnten auch andere Windows-Versionen und theoretisch sogar andere Betriebssysteme betroffen sein. 2.1.5 ist die aktuelle Version für Desktops.
Die erste Schwachstelle lässt sich durch eine präparierte FLV-Datei (Flash) angreifen. Für die zweite können Angreifer eine M2V-Datei (MPEG V2) einschleusen, um in den Speicher zu schreiben und Code auszuführen. Hayas hat seiner Meldung als Beleg Beispielcode beigefügt.
Der verbreitete VLC Media Player ist das Erzeugnis des nicht kommerziellen VideoLAN-Projekts. Er läuft auf einer Vielzahl von Plattformen und beherrscht eine große Anzahl an Formaten, kommt aber auch mit DVDs, Audio-CDs, VCDs und diversen Streaming-Protokollen zurecht.
Für den VLC Media Player war 2014 ein besonders erfolgreiches Jahr. Durch eine Finanzierung auf Kickstarter konnte ein Ableger für die Kacheloberfläche von Windows 8 realisiert werden. Die Android-Version wurde im September zur Final erklärt. Aus Apples App Store war der VLC Media Player zwar im Herbst aus unbekannten Gründen verschwunden – möglicherweise ging es um strittige Lizenzen, wie Anfang 2011 schon einmal. In den ersten Tagen des Januar 2015 kehrte er aber – dann auch mit iOS-8-Support – zurück.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
