Der beliebte VLC-Mediaplayer weist momentan offenbar eine ernste Sicherheitslücke auf. Betroffen sind alle älteren Versionen von 1.1.5 abwärts, weswegen VLC-Nutzer angewiesen werden, die neueste Version (1.1.6) oder einen Patch zu installieren. Die Lücke ermöglicht das Verursachen eines Buffer Overflows und darüber möglicherweise das Ausführen von Schadcode.
Der quelloffene und kostenlose VLC-Mediaplayer, der mit einer Vielzahl von Video- und Audioformaten zurechtkommt, ist als Alternative zu anderen Mediaplayern äußerst beliebt. Wer allerdings eine ältere Version des Players nutzt, sollte diese schnellstmöglich durch die aktuelle Version ersetzen. Wie das VideoLAN-Entwicklerteam in einem kürzlich veröffentlichten Advisory mitteilt, sind alle älteren Versionen von 1.1.5 abwärts von einer ernsthaften Sicherheitslücke betroffen.
Wird dem Mediaplayer eine Datei mit einem fehlerhaften Real-Media-Header untergeschoben, kann darüber ein Heap Overflow ausgelöst werden. Die Entwickler schreiben, es sei "unbekannt, ob eine bösartige dritte Partei die Ausführung beliebigen Codes auslösen" könne. In jedem Fall könne ein erfolgreiches Ausnutzen der Lücke den Mediaplayer zum Absturz bringen.
Um eine Ausnutzung des Fehlers zu erlauben, muss eine entsprechend manipulierte Datei durch den Benutzer aktiv aufgerufen werden. Wer eine anfällige Version des Players nutzt, sollte daher beim Abspielen derartiger Dateien besondere Vorsicht walten lassen. Am besten ist jedoch ein sofortiges Update auf die Version 1.1.6, bei der der Fehler behoben wurde. Alternativ stehen auch Patches für ältere Versionen zur Verfügung.
Quelle: Gulli
