Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Hardware & Software Kritische Sicherheitslücke in VLC Media Player

Ein Update steht für den VLC Media Player bereit, mit dem die Entwickler unter anderem eine kritische Sicherheitslücke schließen.

Die jetzt freigegebene Version 3.0.18 des VLC Media Player schließt mehrere Sicherheitslücken. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, mit manipulierten Dateien oder Streams potenziellen Opfern Schadcode unterzuschieben.

Kritisches Risiko

VLC enthält ein vnc-Modul, das aufgrund eines möglichen Pufferüberlaufs Schadcode aus dem Netz ausführen könnte. Dazu müsse eine bösartige vnc-URL abgespielt werden (CVE-2022-41325). Solch eine URL kann auch in einer lokalen Datei enthalten sein, etwa einer m3u-Playlist. Der CVE-Eintrag zur Sicherheitslücke ist zum Meldungszeitpunkt noch nicht öffentlich. Das CERT Bund schätzt den CVSS-Wert jedoch auf 9.6 ein, was dem Risiko "kritisch" entspricht.

Die Sicherheitsmeldung von VideoLAN listet noch drei weitere Fehler auf, die VLC 3.0.18 korrigiert. Aufgrund einer möglichen Division-durch-Null bei der Verarbeitung könnte eine manipulierte MP4-Datei einen Denial of Service (DoS) auslösen. Bei mehreren Dateien konnte ein doppelt aufgerufenes free bereits freigegebene Ressourcen abermals versuchen, freizugeben, und so Abstürze der Software verursachen. Aufgrund einer Null-Pointer-Dereferenzierung könnte bei der Verarbeitung von präparierten .oog-Dateien ein Denial-of-Service auftreten.

Die VLC-Entwickler betonen, dass ihnen bislang keine Exploits bekannt seien, die die Schwachstellen missbrauchen. Als automatisches Update scheint die neue Fassung zum jetzigen Zeitpunkt noch nicht angeboten zu werden. Sie lässt sich aber auf der Download-Seite des Projekts etwa als Windows-Installer herunterladen. Linux-Nutzer müssen die Distributions-eigene Softwareverwaltung starten und dort das Update auf Version 3.0.18 suchen.

Du musst Regestriert sein, um das angehängte Bild zusehen.


Quelle; heise
 
Zurück
Oben