Alert!

Wieder Lücke in VLC media player

Ein Heap Overflow bei der Verarbeitung von Real Media lässt sich zum Einschleusen und Starten von Code ausnutzen. Ein Update ist zwar angekündigt, Anwender sollten jedoch alternative Medienspieler in Erwägung ziehen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 216 Beiträge
Von
  • Daniel Bachfeld

Eine Lücke im VLC media player lässt sich ausnutzen, um über präparierte Real-Media-Dateien Schadcode in einen Rechner zu schleusen und zu starten. Das Opfer muss dafür eine Real-Media-Datei herunterladen und öffnen oder eine Webseite besuchen, die einen manipulierten Real-Media-Stream sendet.

Ursache des Problems ist laut Beschreibung ein Heap Overflow in modules\demux\real.c. Das Update auf Version 0.9.7 soll die Lücke beheben. Alternativ können Anwender auch das Demuxer-Plug-in libreal_plugin.* aus dem Installationsordner entfernen, um erfolgreiche Angriffe zu verhindern.

Angesichts der sich in letzter Zeit häufenden kritischen Lücken in VLC sollten Anwender erwägen, einen anderen Medienspieler einzusetzen. Allerdings ist VLC insbesondere aufgrund seiner Netzwerk- und Streaming-Fähigkeiten nur schwer zu ersetzen. Wer diese Funktionen jedoch nicht benötigt und nur einen Player zum Abspielen lokal gespeicherter Filme benötigt, sollte sich die kostenlosen Player im heise Download-Verzeichnis anschauen.

(dab)