News-Meldung vom 07.06.2011 14:55
Das VLC-Entwicklerteam hat mit Version 1.1.10 eine kritische Integer-Overflow-Lücke bei der Verarbeitung von XSPF-Playlisten geschlossen, durch die Angreifer Code ins System einschleusen können. Hierzu muss der Angreifer das Opfer lediglich dazu bringen, eine präparierte XSPF-Playlist zu öffnen. Das XSPF-Format basiert auf XML und dient dem Austausch von Wiedergabelisten. In der Windows- und Mac-OS-X-Portierung wurde zudem die verwundbare Version der libmodplug-Bibliothek auf den neuesten Stand gebracht. Secunia hat bereits vor über einem Monat auf diese Schwachstellen hingewiesen.
Die Entwickler haben unter anderem auch weitere Bibliotheken aktualisiert, diverse Übersetzungen überarbeitet und den Linux-Soundserver PulseAudio verbessert. Der Versionscheck innerhalb von VLC hält die verwundbare Version 1.1.9 derzeit noch für aktuell. Da das Update kritische Lücken schließt, sollte man umgehend auf die neue Version umsteigen.
Siehe dazu auch:
English Version: VLC Media Player 1.1.10 fixes vulnerabilities
Version zum Drucken | Per E-Mail versenden
Permalink: http://heise.de/-1256511
Themen-Forum Desktopsicherheit
Mehr zum Thema Sicherheitslücke VLC media player
Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. 
Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. 
