Die Version 1.1.12 (und früher) des quelloffenen Multimediaplayers VLC enthält eine kritische Lücke, durch die das System mit Schadcode infiziert werden kann. Die Buffer-Overflow-Lücke befindet sich im TiVo-Demuxer. Der Schad-Code wird beim Abspielen einer verseuchten Videodatei ausgeführt. Unter Umständen genügt auch schon der Besuch einer speziell präparierten Webseite, da auch das Browser-Plugin verwundbar ist.

Das in Kürze erscheinende Update auf Version 1.1.13 soll Abhilfe schaffen, das zudem weitere, nicht sicherheitsrelevante Bugs beseitigt. Wer sofort handeln möchte und auf die TiVo-Unterstützung verzichten kann, löscht das verwundbare Plugin (libty_plugin.*) einfach aus dem Plugin-Verzeichnis. Die Datei können Windows-Nutzer durch eine fehlerbereinigte Version ersetzen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE