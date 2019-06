Wer Videos mit dem VLC Player abspielt, sollte zügig die neue Version installieren. In der aktuellen Ausgabe 3.0.7 haben die Entwickler eigenen Angaben zufolge 33 Sicherheitslücken geschlossen – so viele Schwachstellen wurden bislang noch noch nie in einem Release beseitigt.

Einem Beitrag von einem Entwickler zufolge sind zwei davon mit dem Bedrohungsgrad "hoch" eingestuft. Aber nur eine von den Lücken betrifft den Versionsstrang 3.0.x. Die andere macht die noch nicht veröffentlichte Ausgabe 4.0 verwundbar. Nutzen Angreifer die Schwachstellen aus, sollen Speicherfehler die Folge sein. So etwas ist meist die Voraussetzung für das Ausführen von Schadcode.

21 Lücken sind mit "mittel" eingestuft. Auch hier könnten Speicherfehler Computer gefährden. Dem Entwickler zufolge soll hier aber in vielen Fällen der Address-Space-Layout-Randomization- Schutzmechanismus (ASLR) von Betriebssystemen Schadcode-Angriffe vereiteln. Der Player könnte aber durchaus abstürzen (DoS-Attacke).

Bug-Bounty-Programm

Alle Lücken haben Sicherheitsforscher im Zuge eines von Free Open Source Software Analysis (FOSSA) mitinitierten Bug-Bounty-Programms entdeckt. Dabei handelt es sich um ein Projekt der EU. Das Programm läuft auf der Bug-Bounty-Plattform Hackerone. Bis dato wurden darüber Prämien in Höhe von mehr als 34.000 US-Dollar ausgezahlt.

Hintergrund der Untersuchung ist, dass das Europäische Parlament die Sicherheit seine IT-Infrastruktur verbessern will. Dafür haben sie ein Budget für FOSSA freigegeben. Im EU-Parlament kommt diverse Open-Source-Software zum Einsatz. Derzeit ist das Programm geschlossen und es ist unbekannt, zu welchem Zeitpunkt es wieder aufgenommen wird.

Bei heise Download:

VLC Player 3.07 herunterladen (des)