26.06.2009 14:21
Alert! Lücke im VLC Media Player
Eine Schwachstelle in der Windows-Version des VLC media player lässt sich nach Angaben des Sicherheitsdienstleisters Secunia möglicherweise ausnutzen, um ein System zu kompromittieren. Dazu muss ein Angreifer ein Opfer dazu bringen, eine Playlist-Datei mit einer zu langen smb://-URI zu öffnen. Ursache des Problems ist ein Buffer Overflow in der Funktion Win32AddConnection in modules/access/smb.c.
Der Fehler wurde in der Version 0.9.9 entdeckt, andere Versionen enthalten den Fehler wahrscheinlich ebenfalls. Die VLC-Entwickler haben ihn im git-Repository zwar bereits behoben, bezeichnen ihn aber nur als DoS-Schwachstelle, der zum Absturz des Players führt. Offiziell steht weiterhin nur die Version 0.9.9 als Quellcode und als Binärpaket für Windows und Mac OS X zum Download bereit.
Siehe dazu auch:
- Fix a segfault (buffer overflow for win32 only)
- VLC Media Player SMB Input Module Buffer Overflow Vulnerability
(Daniel Bachfeld)
/
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
