Menü
Alert!
Security

VLC 1.1.10 schließt kritische Lücken

vorlesen Drucken Kommentare lesen 39 Beiträge

Das VLC-Entwicklerteam hat mit Version 1.1.10 eine kritische Integer-Overflow-Lücke bei der Verarbeitung von XSPF-Playlisten geschlossen, durch die Angreifer Code ins System einschleusen können. Hierzu muss der Angreifer das Opfer lediglich dazu bringen, eine präparierte XSPF-Playlist zu öffnen. Das XSPF-Format basiert auf XML und dient dem Austausch von Wiedergabelisten. In der Windows- und Mac-OS-X-Portierung wurde zudem die verwundbare Version der libmodplug-Bibliothek auf den neuesten Stand gebracht. Secunia hat bereits vor über einem Monat auf diese Schwachstellen hingewiesen.

Die Entwickler haben unter anderem auch weitere Bibliotheken aktualisiert, diverse Übersetzungen überarbeitet und den Linux-Soundserver PulseAudio verbessert. Der Versionscheck innerhalb von VLC hält die verwundbare Version 1.1.9 derzeit noch für aktuell. Da das Update kritische Lücken schließt, sollte man umgehend auf die neue Version umsteigen.

Siehe dazu auch:

(rei)