Schwachstellen in VLC Media Player ermöglichen Code-Ausführung

Sie werden durch präparierte Flash- beziehungsweise MPEG-Dateien ausgelöst. Der Entdecker hat sie nur unter Windows XP SP3 mit dem aktuellen VLC Media Player 2.1.5 getestet. Das VideoLAN-Projekt wurde Ende Dezember informiert, hat aber bisher nicht reagiert.

Der Sicherheitsforscher Vetsel Hayas hat auf Full Disclosure zwei Schwachstellen in einigen Versionen des VLC Media Player offengelegt, die Speicherkorruption und potenziell Ausführung beliebigen Codes erlauben. Es handelt sich zum einen um eine Zugriffsverletzungs-Schwachstelle der Datenausführungsverhinderung (DEP) und zum anderen um einen Fehler bei Schreibzugriffen.

VLC Media Player Logo (Bild: VLC)

Die als schwer eingestuften Schwachstellen wurden im November entdeckt und Ende Dezember dem VideoLAN Project gemeldet. Sie treten unter VLC Media Player 2.1.5 unter Windows XP SP3 auf. Dieses Betriebssystem wird von Microsoft nicht mehr unterstützt, ist aber weiter sehr verbreitet. Da die Fehler im Player stecken, könnten auch andere Windows-Versionen und theoretisch sogar andere Betriebssysteme betroffen sein. 2.1.5 ist die aktuelle Version für Desktops.

Die erste Schwachstelle lässt sich durch eine präparierte FLV-Datei (Flash) angreifen. Für die zweite können Angreifer eine M2V-Datei (MPEG V2) einschleusen, um in den Speicher zu schreiben und Code auszuführen. Hayas hat seiner Meldung als Beleg Beispielcode beigefügt.

Der verbreitete VLC Media Player ist das Erzeugnis des nicht kommerziellen VideoLAN-Projekts. Er läuft auf einer Vielzahl von Plattformen und beherrscht eine große Anzahl an Formaten, kommt aber auch mit DVDs, Audio-CDs, VCDs und diversen Streaming-Protokollen zurecht.

Für den VLC Media Player war 2014 ein besonders erfolgreiches Jahr. Durch eine Finanzierung auf Kickstarter konnte ein Ableger für die Kacheloberfläche von Windows 8 realisiert werden. Die Android-Version wurde im September zur Final erklärt. Aus Apples App Store war der VLC Media Player zwar im Herbst aus unbekannten Gründen verschwunden – möglicherweise ging es um strittige Lizenzen, wie Anfang 2011 schon einmal. In den ersten Tagen des Januar 2015 kehrte er aber – dann auch mit iOS-8-Support – zurück.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Software, Video, VideoLAN

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Schwachstellen in VLC Media Player ermöglichen Code-Ausführung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *