Der Sicherheitsforscher Vetsel Hayas hat auf Full Disclosure zwei Schwachstellen in einigen Versionen des VLC Media Player offengelegt, die Speicherkorruption und potenziell Ausführung beliebigen Codes erlauben. Es handelt sich zum einen um eine Zugriffsverletzungs-Schwachstelle der Datenausführungsverhinderung (DEP) und zum anderen um einen Fehler bei Schreibzugriffen.
Die als schwer eingestuften Schwachstellen wurden im November entdeckt und Ende Dezember dem VideoLAN Project gemeldet. Sie treten unter VLC Media Player 2.1.5 unter Windows XP SP3 auf. Dieses Betriebssystem wird von Microsoft nicht mehr unterstützt, ist aber weiter sehr verbreitet. Da die Fehler im Player stecken, könnten auch andere Windows-Versionen und theoretisch sogar andere Betriebssysteme betroffen sein. 2.1.5 ist die aktuelle Version für Desktops.
Die erste Schwachstelle lässt sich durch eine präparierte FLV-Datei (Flash) angreifen. Für die zweite können Angreifer eine M2V-Datei (MPEG V2) einschleusen, um in den Speicher zu schreiben und Code auszuführen. Hayas hat seiner Meldung als Beleg Beispielcode beigefügt.
Der verbreitete VLC Media Player ist das Erzeugnis des nicht kommerziellen VideoLAN-Projekts. Er läuft auf einer Vielzahl von Plattformen und beherrscht eine große Anzahl an Formaten, kommt aber auch mit DVDs, Audio-CDs, VCDs und diversen Streaming-Protokollen zurecht.
Für den VLC Media Player war 2014 ein besonders erfolgreiches Jahr. Durch eine Finanzierung auf Kickstarter konnte ein Ableger für die Kacheloberfläche von Windows 8 realisiert werden. Die Android-Version wurde im September zur Final erklärt. Aus Apples App Store war der VLC Media Player zwar im Herbst aus unbekannten Gründen verschwunden – möglicherweise ging es um strittige Lizenzen, wie Anfang 2011 schon einmal. In den ersten Tagen des Januar 2015 kehrte er aber – dann auch mit iOS-8-Support – zurück.
[mit Material von Charlie Osborne, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
