Im VLC-Player klafft eine Schwachstelle (CVE-2018-11516), die von Angreifern ausgenutzt werden könnte. Über diese soll es möglich sein, Schadcode mit den Nutzerrechten des Opfers auszuführen, warnen die Entwickler.

Für einen erfolgreichen Angriff muss der Angreifer dem Opfer eine präparierte Flash-Datei (.swf) unterschieben, die dann vom Opfer mit einer verwundbaren Version des VLC Players geöffnet werden muss. Weiterhin kann über das Öffnen eines Flash-Streams ein Angriff eingeleitet werden. Das führt dann zu einem Speicherfehler (heap use after free) in Demux(). Als Folge stürzt der VLC-Player entweder ab oder Angreifer können Code zur Ausführung bringen.

Betroffen sind alle Systeme und Versionen. Die Sicherheitslücke wurde in der Ausgabe 3.0.2 geschlossen.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE