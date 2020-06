Wer den VLC Player zur Medienwiedergabe nutzt, sollte keine Video-Dateien und -Streams aus unbekannten Quellen öffnen. Ansonsten können Angreifer Schadcode auf Computer schleusen und ausführen. Die Entwickler geben an, bis dato keine Attacken auf die Lücke beobachtet zu haben. Eine abgesicherte Version ist verfügbar.

In einer Warnmeldung stuft das VLC-Team die von der Schwachstelle (CVE-2020-13428) ausgehende Gefahr als "hoch" ein. Welche Betriebssysteme konkret bedroht sind, geht aus der Meldung nicht hervor.

Opfer muss mitspielen

Das Problem liegt im H26X Packetizer. Das Öffnen eines von einem Angreifer manipulierten Video, als Datei oder Stream, löst einen Speicherfehler (buffer overflow) aus. Das führt entweder zu einem Absturz (DoS-Attacke) oder resultiert in der Ausführung von Schadcode mit den Rechten des Opfers. Sind Admin-Rechte im Spiel, gilt ein Computer als vollständig kompromittiert.

Die Entwickler geben an, die Sicherheitslücke in der aktuellen Version 3.0.11 geschlossen zu haben. Außerdem haben sie die Abhängigkeiten zwischen VLC und der C-Bibliothek libarchive angepasst. So wollen Sie die beiden Schwachstellen (CVE-2019-19221 "mittel", CVE-2020-9308 "hoch") umschiffen. (des)