63840

Neuer VLC Player beseitigt Schwachstelle

14.07.2008 | 10:18 Uhr |

Die VideoLAN-Entwickler haben die neue Version 0.86i des VLC Player freigegeben. Sie haben darin eine Sicherheitslücke geschlossen, die das Einschleusen von Code ermöglichen kann.

In bisherigen Versionen des VLC Player steckt eine Anfälligkeit, die mit speziell präparierten WAV-Dateien ausgenutzt werden könnte. Mit der nun bereit gestellten Version 0.86i haben die Entwickler des Open-Source-Projekts diese Sicherheitslücke geschlossen. Außerdem haben sie mehrere Software-Fehler beseitigt, die jedoch nicht sicherheitsrelevant sind.

Im VLC Player bis einschließlich Version 0.86h existiert eine von Secunia entdeckte Sicherheitslücke im WAV-Demuxer . Mit speziell präparierten WAV-Dateien könnte ein Angreifer einen Pufferüberlauf provozieren. Dabei kann das Programm abstürzen und eingeschleuster schädlicher Code kann im Speicher verbleiben und ausgeführt werden. Dazu müsste ein Angreifer ein potenzielles Opfer dazu bringen eine präparierte WAV-Datei im VLC Player zu öffnen. In Version 0.86i ist dieser Fehler nicht mehr vorhanden.

VLC Player gibt es für Windows, Mac OS X, Linux, BeOS und verschiedene Unix-Varianten. Es kann auch als Streaming-Server für Video und Audio im Heimnetzwerk dienen. Der Download der Windows-Version ist knapp 9,5 MB groß.

VideoLAN Security Advisory 0806

Download VLC Player

0 Kommentare zu diesem Artikel
63840