Zwei Schwachstellen weist die aktuelle Version des Medienplayers VLC (2.1.5) auf, über welche ein Speicherfehler verursacht und beliebiger Code ausgeführt werden kann. Sicherheitsexperte Veysel Hatas wies die VLC-Entwickler bereits Ende vergangenen Jahres auf die Lücken hin. Die Sicherheitslücken werden vom Experten als kritisch eingestuft.

Der Angriff gelingt laut Hatas mittels präparierter MPEG-V2 und Flash-Videos. Erfolgreiche Tests hat der Sicherheitsexperte unter Windows XP SP3 x86 durchgeführt. Das Angriffsszenario sei aber auch unter Windows 7 x64 reproduzierbar, teilte Hatas gegenüber heise Security mit.

Die Fehlerbeschreibung im hauseigenen Bugtracker hat das VLC-Team geschlossen. Die Begründung ist, dass die Sicherheitslücke in der Codec-Bibliothek Libavcodec von FFmpeg zu suchen sei. In FFmpeg's Bugtracker ist noch kein entsprechender Eintrag vorhanden.

Die Sicherheitslücken sollen aufgrund einer neuen Codec-Bibliothek in der angekündigten Version 2.2.0 geschlossen sein, so VLC. Bisher ist diese nur in einer Vorabversion verfügbar.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE