31.01.2013, 10:59

Benjamin Schischka

Buffer Overflow

Sicherheitsleck im VLC-Player gemeldet

Pufferüberlauf in VLC ©istockphoto.com/alexskopje

In der aktuellen Version des VLC Media Players ist ein Einfallstor für Hacker versteckt. Aus diesem Grund sollten Sie ein bestimmtes Videoformat dringend vermeiden!
Die Macher des beliebten VLC Media Player warnen vor einer Lücke in der aktuellen Version. Beim Öffnen eines manipulierten ASF-Videos könne es zu einem Pufferüberlauf (Buffer Overflow) und damit verbunden zu einem Programmabsturz kommen. Hacker nutzen Pufferüberläufe außerdem um etwa eigene Befehle auszuführen und sich Zugang zum System zu verschaffen. Diese Möglichkeit wollen die Entwickler von Videolan nicht ausschließen. Es sei aber ungewiss, ob auch der Video Player aktuell auf diese Weise missbraucht werden könne.
VLC-Lücke: So sind Sie auf der sicheren Seite
Weil die Lücke nur beim Öffnen von ASF-Videos besteht (ASF steht für Advanced Systems Format und ist ein von Microsoft entwickeltes Format), raten die VLC-Entwickler auf das Öffnen von ASF-Dateien zu verzichten. Doch ganz so einfach ist es auch wieder nicht: Der VLC Media Player installiert auch Browser-Plugins mit und beim Surfen auf einer Seite mit ASF-Videos könnte man Hackern ebenfalls die Tore öffnen. Wenn die Videos automatisch abgespielt werden, ist nicht einmal eine Aktion des Users notwendig. Davor sind Sie nur sicher, wenn Sie das VLC-Plugin deaktivieren - versprechen die Entwickler des Players. Alternativ löschen Sie die Datei "libasf_plugin.*" per Hand aus dem Installationsverzeichnis des VLC-Plugins.
Die Lücke betrifft alle aktuellen VLC-Versionen ab Version 2.0. Videolan arbeitet eigenen Aussagen zufolge bereits an einem Patch, der in die noch nicht erschienene Version 2.0.6 eingebaut werden soll. Windows- und Mac-OS-X-User müssen nicht solange warten und können sich die aktuelle Nightly Build-Version von VLC runterladen. Dort ist der Patch bereits integriert. Aber Vorsicht: Es handelt sich um eine Vorabversion, die noch nicht ausreichend getestet wurde! Im Zweifel heißt es also Warten oder (vorübergehend) umsteigen - etwa auf den KM-Player.
Diskutieren Sie mit anderen Lesern über dieses Thema:
PC-WELT Hacks
PC-WELT Hacks Logo
Technik zum Selbermachen

3D-Drucker selbst bauen, nützliche Life-Hacks für den PC-Alltag und exotische Projekte rund um den Raspberry Pi. mehr

1676367
Content Management by InterRed