Sicherheitsupdate für VLC-Player

Im beliebten VLC Player klafft in der Version 3.0.0 und der Version 3.0.1 eine kritische Sicherheitslücke (CVE-2018-11516) bei der Wiedergabe von Flash swf-Dateien.


Anzeige

Dies geht aus dem Security Advisory 1801 der Entwickler hervor. Die kritische Sicherheitslücke (CVE-2018-11516) geht auf einen Heap use after free-Fehler bei der Wiedergabe von SWF (Flash) Dateien zurück.

Ein Remote-Benutzer kann daher eine speziell gestaltete Swf-Datei erstellen, die, wenn sie vom Zielbenutzer geladen wird, einen Heap use after free-Fehler nach der Verwendung in Demux() (in (demux/avformat/demux.c) auslöst.

Im Erfolgsfall könnte ein böswilliger Angreifer entweder einen Absturz des VLC Player verursachen oder eine Arbitratry-Code-Ausführung mit den Rechten des Zielbenutzers auslösen. Die Ausnutzung dieser Schwachstelle erfordert aber, dass der Benutzer explizit eine speziell gestaltete Datei oder einen Stream öffnet.

Die Entwickler schreiben im Advisory, dass ASLR (Adress Space Randomisation) und DEP (Data Execution Prevention) im Betriebssystem zwar die Exposition reduzieren. Diese Techniken können aber umgangen werden.

Als Abhilfe sollten Benutzer davon absehen, Dateien von nicht vertrauenswürdigen Dritten zu öffnen oder auf nicht vertrauenswürdige Remote-Sites zuzugreifen (oder die VLC-Browser-Plugins zu deaktivieren), bis der Patch installiert ist. Der VLC Player 3.0.2 schließt diese Sicherheitslücke. Inzwischen wird auf der VideoLan-Webseite bereits die Version 3.0.3 des VLC-Player von Windows zum Download angeboten. (via)


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Sicherheitsupdate für VLC-Player


  1. Anzeige
  2. Anonymous sagt:

    Moin,
    Version 3.03 wir bereits sein 30.05 angeboten.
    Nachdem ich die Meldung gesten schon bei HEISE gelesen habe, frage ich mich warum die “Info” jetzt erst heraus kommt.

    Gruss
    Manfred

  3. Dekre sagt:

    Das ist ja mal wieder merkwürdig. Im Juli 2018 veröffentlicht VCL ein Sicherheitsbulletin für 2 Altversionen vom VCL-Player. Die Lücke haben sie dann mit Version 3.02 vom 24.04.2018 geschlossen (sh. deren Versionsmitteilung) und am 30.05.2018 haben diese schon eine neuere Version 3.03 veröffentlicht.

    Ich denke mal, dass diese mit ihrer Version 3.02 neben einigen Bugs wohl “unbeabsichtigt” auch eine Sicherheitslücke geschlossen haben, die wohl nur in V 3.00 und 3.01 vorgekommen ist.

  4. Anzeige

  5. Günter Born sagt:

    Die Gründe für diese Vorgehensweise der Entwickler kenne ich nicht – ist schon merkwürdig. Hier war der VLC portable auf 3.0.2, wird aber nicht auf die 3.0.3 aktualisiert.

    Zudem leidet die V3.x darunter, dass der Start der portablen Version irre lange dauert. Muss mit irgendwelchen Bibliotheken zusammen hängen – eine Abhilfe habe ich noch nicht gefunden.

    • ralf sagt:

      zu: langsamer start

      vielleicht (dlls muessen ja nicht zwingend frueh geladen werden) folge der zunehmenden verfettung des players?

      version 3.0.3: 120 MB
      version 2.2.8: 86 MB
      version 1.1.11: 36 MB
      version 0.8.6i: 10 MB

      anm: jeweils frisch “installierte” versionen von portableapps(.)com ohne die optionalen “additional languages”.

      • Günter Born sagt:

        Es gab irgend einen Hinweis der Entwickler, dass irgend eine Library langsam geladen würde. Das Problem kommt seit 2.x im Web vor – ist mir aber erst bei 3.x aufgefallen. Braucht teilweise bis zu 30 Sekunden, bis der Player erscheint.

        • ralf sagt:

          und noch eine beobachtung: nachfolgende starts gehen vergleichsweise schnell vonstatten. – ich denke daher, bei mir ist die kombination aus herkoemmlicher festplatte, vielen einzubindenden dlls und windows defender die hauptbremse.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.