1661504

Schwachstellen in VLC Player

04.01.2013 | 16:18 Uhr |

Eine kürzlich veröffentlichte Warnung des BSI, zwei Einträge in Secunias Schwachstellenverzeichnis und eine fehlende Sicherheitsmitteilung der VLC-Entwickler sind die Zutaten für ein Verwirrspiel um eine Lücke im VLC Media Player.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 2. Januar eine Warnmeldung veröffentlicht, um Nutzer des quelloffenen VLC Media Player zum Update auf die neueste Version aufzufordern. In Versionen vor 2.0.5 stecke eine Sicherheitslücke, die es einem Angreifer ermögliche Code einzuschleusen und auszuführen. Über Details lässt sich die BSI-Warnung nicht aus. Man verweist dazu auf die Release Notes der Entwickler, in denen jedoch nichts über eine Sicherheitslücke steht.

Auch im Sicherheitscenter der VLC-Website gibt es bis heute(*) keinen Hinweis darauf, dass die VLC-Entwickler in der am 15. Dezember veröffentlichten aktuellen Version 2.0.5 eine Schwachstelle beseitigt haben. Wer die Release Notes genauer liest, findet immerhin einen möglichen Anhaltspunkt: "Fix MKV, SWF, AIFF and subtitles demuxer crashes".

Forscht man in der Schwachstellendatenbank des dänischen Sicherheitsunternehmens Secunia nach VLC-Lücken, finden sich zwei Einträge, die passen könnten. Tatsächlich liefert nur der erst nach Weihnachten 2012 veröffentlichte Eintrag SA51692 die wesentlichen Fakten. Der andere Eintrag, SA51464 , wurde zuletzt am 2. Januar 2013 aktualisiert und bezieht sich auf eine angeblich noch nicht geschlossene Lücke in der Version 2.0.4 des VLC Media Player, die mit präparierten SWF-Dateien (Flash) ausgenutzt werden könne.

Wie der VLC-Chefentwickler Jean-Baptiste Kempf auf Anfrage mitgeteilt hat, steckt diese Flash-Lücke in der Programmbibliothek libavformat aus der Open Source Software FFmpeg , die als Plug-in auch im VLC Player verwendet wird. Es ist laut Kempf jedoch nicht möglich SWF-Dateien im VLC Player zu öffnen. Außerdem sei die fragliche Lücke längst geschlossen.

Somit bleibt die Lücke aus SA51692 übrig, ein Pufferüberlauf im Modul subsdec.c , der durch eine speziell präparierte Untertiteldatei im HTML-Format provoziert werden kann. Die fehlende Sicherheitsmitteilung auf der VLC-Website erklärt Kempf damit, dass dies wohl schlicht vergessen worden sei.

Die Empfehlung auf die aktuelle Version VLC Media Player 2.0.5 zu wechseln hat also ihre Berechtigung. Dazu sollten Sie jedoch nicht die eingebaute Update-Funktion nutzen, sondern die neue Version herunter laden und über die vorhandene installieren.

Update: Inzwischen haben die VLC-Entwickler eine Sicherheitsmitteilung zu den in VLC 2.0.5 gestopften Lücken im Sicherheitscenter auf der VLC-Website veröffentlicht. Manchmal bedarf es eben ein wenig Anschub.

0 Kommentare zu diesem Artikel
1661504