Vorsicht, Sicherheitslücke beim VLC-Player 2.1.5

vlcHeute möchte ich ein merkwürdiges Problem beim VLC Player 2.1.5 des Video-LAN-Projekts thematisieren. Der bei vielen Leute recht beliebte Player scheint Sicherheitslücken zu enthalten, die aber von den Entwicklern nicht so richtig wahrgenommen werden.


Anzeige

Es ist eine recht merkwürdige Sache, die heise.de hier thematisiert. Sicherheitsexperte Veysel Hatas hat im November 2014 zwei Lücken im aktuellen VLC-Player 2.15 entdeckt, die eine Aushebelung der Speicherverwaltung ermöglichen. Dann lässt sich beliebiger Code ausführen. Laut Hatas hat er mit präparierten Flash- und MPEG-V2-Videos die Lücken unter Windows XP SP3 ausnutzen können. Der Mechanismus soll auch in Windows 7 SP1 funktionieren. So weit so schlecht.

Wo es aber kurios wird: Hatas hat die VLC-Entwickler bereits Ende 2014 auf die Sicherheitslücken (CVE-2014-9597, CVE-2014-9597) hingewiesen. Das betreffende Ticket wurde von den VLC-Entwicklern aber bereits geschlossen (scheint aber erneut geöffnet worden zu sein), weil sich die Schwachstellen in der FFMpeg-Bibliothek Libavcodec befinden. Laut heise.de finden sich im FFMpeg-Bugtracker aber wohl kein diesbezüglicher Eintrag.

Ist aber gehupft wie gesprungen – als VLC-Anwender ist man der Gelackmeierte. Immerhin haben die VLC-Entwickler avisiert, dass die Lücke in der kommenden VLC-Player-Version 2.2.0 geschlossen sein soll.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit Sicherheitslücke, VLC Player 2.1.5 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.