Sicherheitsforscher entdeckt zwei Schwachstellen im VLC Media Player

Der Sicherheitsforscher Vetsel Hayas zwei Schwachstellen in bestimmten Versionen des VLC Media Player entdeckt. Sie erlauben Speicherkorruption und unter Umständen das Ausführung beliebigen Codes. Laut Hayas handelt sich um ein Problem in der Datenausführungsverhinderung (DEP) sowie einen Fehler bei Schreibzugriffen.

Die beiden als “schwer” eingestuften Schwachstellen wurden von Hayas im November entdeckt. Ende Dezember hat er sie dem VideoLAN Project gemeldet. Beide treten unter VLC Media Player 2.1.5 unter Windows XP SP3 auf. Da die Fehler im Player stecken, könnten allerdings auch andere Windows-Versionen und sogar andere Betriebssysteme betroffen sein. Für Desktops ist 2.1.5 die aktuelle Version des VLC-Players.

Eine der Schwachstellen lässt sich durch eine präparierte FLV-Datei (Flash) angreifen. Über die andere können Angreifer eine M2V-Datei (MPEG V2) einschleusen, um in den Speicher zu schreiben und Code auszuführen.

Der VLC Media Player wird vom nicht kommerziellen VideoLAN-Projekt entwickelt. Er läuft auf einer Vielzahl von Plattformen, unterstützt eine große Anzahl an Formaten und spielt auch DVDs, Audio-CDs, VCDs und diversen Streaming-Protokolle ab. Aus Apples App Store verschwand die App im Herbst aus unbekannten Gründen. Seit den ersten Tagen des Januar 2015 steht sie – nun auch mit Unterstützung für iOS 8 – aber wieder zur Verfügung.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de