Fast jeder Audio- und Videofreund kennt den beliebten, freien und offenen Mediaplayer für Multimediadateien, DVDs, Audio-CDs, VCDs und mehrere Streamingprotokolle VLC – einen kostenlosen Tausendsassa, der bei der Arbeit nicht die Hälfte seiner Ressourcen für Copyrightfragen verschwendet.
Das Programm steht zum Download und Betrieb unter den Betriebssystemen Windows, Linux, Unix und Mac OS X sowie den Mobilbetriebssystemen iOS und Android.
Kritische Lücke in VLC und MPlayer
Der Mediaplayer VLC setzt dabei genau wie auch der MPlayer auf die Streaming-Bibliothek LIVE555 Media Server, in der eine kritische Sicherheitslücke (CVE-2018-4013) bekannt geworden ist. Dadurch sind jetzt beide Player verwundbar und Angreifer könnten über das Netz Schadcode auf Computern mit VLC oder MPlayer ausführen.
Für einen erfolgreichen Angriff müssten nur spezielle Pakete an verwundbare Computer gesendet werden, um so wegen der Schwachstelle in der RTSP-Server-Bibliothek von LIVE555 einen Speicherfehler (Stack-based Buffer Overflow) auszulösen, erklären Sicherheitsforscher von Cisco Talos in einem Bericht.
Das führt in aller Regel zur Ausführung von Schadcode. In dem Report findet man noch weitere Details zur Schwachstelle – unklar bleibt aber, unter welchen Betriebssystemen Angreifer die Lücke ausnutzen können.
Die Sicherheitsforscher von Cisco/Talos konnten das Problem in der Version 0.92 von LIVE555 Media Server feststellen.
VLC 3.0.4 schließt die Sicherheitslücke
Inzwischen steht schon die reparierte Version 0.93 dieser Bibliothek bereit. Der sehr weit verbreitete VLC Player ist seit der heute aktuellen Version 3.0.4 schon abgesichert.
Ob auch die Lücke im MPlayer schon geschlossen wurde, ist zurzeit leider noch nicht bekannt.
