Datenschutz & Sicherheit

Mediaplayer VLC: Aktualisierte Version stopft zahlreiche Lücken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Das VideoLAN-Projekt hat mit den Versionen 3.0.22 und 3.0.23 des VLC Player diverse Sicherheitslücken beim Verarbeiten von unterschiedlichen Medienformaten ausgebessert. Wer die Software zum Streamen und zur Medienwiedergabe einsetzt, sollte auf die jüngste Version aktualisieren.

Weiterlesen nach der Anzeige

In einer Sicherheitsmitteilung erörtert das VideoLAN-Projekt die Sicherheitslücken, die VLC 3.0.22 bereits schließt. Die Schwachstellen können VLC abstürzen lassen, die Entwickler schließen jedoch nicht aus, dass sie sich verknüpfen lassen, um Schadcode auszuführen oder Nutzerinformationen preiszugeben. Immerhin haben sie keine Hinweise darauf, dass die Lücken bereits missbraucht würden.

Die Schwachstellen betreffen die Verarbeitung der Formate und Verarbeitungsmodule MMS, OggSpots, CEA-708-Untertitel, ty, CVD-Untertitel, Ogg-Demuxer, WebVTT, NSV-Demuxer, SRT-Untertitel, ASF, MP4-Demuxer, SPU-Decoder, SVCD-Untertitel-Decoder, tx3g-Untertitel-Decoder und schließlich den Audio-Ausgabe-Puffer auf dem Stack. In den News listen die Programmierer in den Änderungen zwischen VLC 3.0.22 und 3.0.21 unter „Security“ noch weitere Schwachstellen auf und merken an, dass auch diese Liste nicht erschöpfend ist.

Noch neuere Version mit nur wenigen Korrekturen

Die jüngere Version VLC 3.0.23 ist laut Release-Notes nur ein kleines nachgeschobenes Fix-Release. Allerdings korrigiert auch sie einige weitere Sicherheitslücken, wie in den VLC-News nachzulesen ist. Etwas stakkatoartig listen die Entwickler dort auf, dass sie eine „Null Deref“ in libass behoben haben, was vermutlich eine Null-Pointer-Dereferenzierung meint. In den Modulen zur Verarbeitung von Theora und CC-708 gab es offenbar undefinierte Shifts, in Daala hingegen einen Integer-Überlauf. Der h264-Parser konnte in eine Endlosschleife geraten. Zudem korrigierten sie darin einen Pufferüberlauf in PNG sowie mehrere „Format-Überläufe“.

Auf der Download-Seite von VLC steht die Software vorkompiliert für diverse Plattformen zum Herunterladen bereit. Inzwischen wurde die Software 6 Milliarden Mal heruntergeladen; die Entwickler planen zudem die Ergänzung von lokalen KI-Funktionen.


(dmk)



Source link

Verwandte Themen:

Beliebt

Die mobile Version verlassen