19670

Weitere Schwachstelle im VLC Player

11.01.2008 | 14:52 Uhr |

Im quelloffenen VLC Player ist eine weitere Sicherheitslücke entdeckt worden, die auf einem Pufferüberlauf basiert. In der Windows-Version des VLC Players steckt noch ein weiteres ungelöstes Problem.

Der VLC Player ist ein Open Source Projekt und für verschiedene Betriebssysteme erhältlich, darunter Windows und Linux. Der italienische Sicherheitsforscher Luigi Auriemma hat eine Anfälligkeit in der aktuellen Version 0.8.6d entdeckt, die auf die Verwendung einer veralteten Fassung der Programmbibliothek Xine zurück zu führen ist. Dadurch können Überlaufe in Eingabepuffern auftreten. Laut einer Sicherheitsempfehlung von Secunia sind auch ältere Versionen betroffen.

Die aktuelle Windows-Version des VLC Players hat außerdem noch ein Problem mit RTSP-Daten (Real-Time Streaming Protocol). Durch Senden einer sehr langen Server-Antwort kann ein Puffer überlaufen, ähnlich wie bei der ebenfalls von Luigi Auriemma gemeldeten Schwachstelle in Quicktime . Die Ursache ist noch unklar, zumal die Linux-Version dieses fehlerhafte Verhalten nicht zeigt.

Da es bislang noch keine neue, fehlerbereinigte Version des VLC Players gibt, empfiehlt Secunia nur vertrauenswürdige Streaming-Server zu nutzen. Eine neue VLC-Version haben die Entwickler bereits vor ein paar Wochen angekündigt, da die Version 0.8.6d bereits durch Sicherheitslücken aufgefallen ist.

0 Kommentare zu diesem Artikel
19670