-
Die Entwickler des freien Mediaplayer MPlayer weisen auf zwei kritische Sicherheitslücken hin, die in der neuesten Version 1.0pre7, Codename "PatentCounter", geschlossen sind. Ein Angreifer kann die Lücken ausnutzen, um eigenen Code im Kontext des am Rechner angemeldeten Nutzers auszuführen. Ursache sind Fehler beim Empfang von MMST- und RTSP-Streaming-Daten. Hierzu muss ein Angreifer allerdings einen Server präpariert haben und falsche Daten senden.
Die Lücke im RSTP-Streaming soll laut Advisory nur schwer auszunutzen sein, für beide Schwachstellen habe man auch noch keine Exploits registriert. Gentoo hat bereits neue Pakete veröffentlicht, in der die Probleme behoben sind. Allerdings ist der MPlayer nicht in jeder Distribution enthalten, sodass nicht jeder Hersteller neue Pakete herausgeben dürfte.
Da MPlayer und xine auf der gleichen Codebasis beruhen, sind die Fehler wahrscheinlich auch in xine zu finden. Auf den Seiten von xinehq ist bislang aber noch kein Hinweis zu finden.
Quelle und Links : http://www.heise.de/newsticker/meldung/58774
-
Der mächtige Universal-Media-Player MPlayer stolpert über präparierte Tonspur-Header. Ein Pufferüberlauf beim Auswerten der strf-Variable (Stream Format Chunk: Identifizierer für das verwendete Audioformat) im Header eines AVI-File lässt das Ausführen von eingeschleustem Code zu.
Sven Tantau beschreibt die Lücke in einem Advisory. Zum Ausnutzen der Lücke müsste ein Angreifer Benutzer zum Öffnen von präparierten Dateien bewegen. Dies könnte etwa durch Dateianhänge in E-Mails geschehen, aber auch durch manipulierte Videos in Tauschbörsen -- ebenso wie bei MP3s rechnet der Normalanwender nicht damit, dass beispielsweise eine AVI-Datei seinem System gefährlich werden könnte.
Betroffen sind MPlayer-Versionen bis zum aktuellen 1.0_pre7. Auf der MPlayer-Website ist noch kein Patch verfügbar. Benutzer der Software sollten nach aktualisierten Paketen Ausschau halten und diese bei Verfügbarkeit umgehend einspielen.
Quelle und Links : http://www.heise.de/newsticker/meldung/63207
-
Auf der Mailing-Liste Full-Disclosure wurden Details zu zwei Sicherheitslecks im freien Medien-Player MPlayer veröffentlicht. Dabei handele es sich um Integer-Überläufe in den Funktionen zur Bearbeitung von AVI- und ASF-Headern in der Hauptbibliothek libmpdemux, die sich um die Verteilung der Datenpakete an die einzelnen Codecs kümmert. Nach Einschätzung der Entdecker von Xfocus kommt es bei der Verarbeitung manipulierter AVI-Dateien oder ASF-Streams zu einem Buffer-Overflow auf dem Heap, der sich zum Einschleusen von beliebigem Schadcode nutzen lassen könnte.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/71422)
Quelle : www.heise.de
-
Nach der kritischen Lücke in Apples Quicktime folgt im Rahmen des Month of Apple Bugs (MOAB) nun eine kritische Lücke im alternativen VLC Media Player. Betroffen ist unter anderem Apples Betriebssystem Mac OS X. Zwar tritt der Fehler auch auf anderen Plattformen auf, zumindest wurde die Schwachstelle auch für Windows bestätigt; aber darum geht es den Initiatoren nicht, vielmehr wollen sie zeigen, dass Mac OS X und dafür entwickelte Anwendungen nicht per se von kritischen Sicherheitslecks ausgeschlossen sind.
Die nun bekannt gemachte Lücke resultiert aus einer Format-String-Schwachstelle bei der Verarbeitung der URI udp://. Durch Angabe einer speziellen Zeichenkette lässt sich Code einschleusen und mit den Rechten des angemeldeten Nutzers ausführen. Zuvor muss das Opfer jedoch die präparierte URL an den VLC Media Player übergeben, je nach Konfiguration des Systems kann dazu schon ein Klick auf einen Link oder der Aufruf einer Playlist genügen. Die Entdecker der Lücke haben Exploits in Perl zur Verfügung gestellt, die auf der PPC- und der x86-Plattform für Mac OS X demonstrieren sollen, wie einfach sich die Rücksprungadresse auf dem Stack verbiegen lässt.
Betroffen ist VLC 0.8.6, wahrscheinlich auch vorherige Versionen und weitere Betriebssysteme. Ein Patch gibt es derzeit nicht. Als Workaround schlägt der Fehlerbericht zur Lücke vor, den udp://-URL-Handler zu deaktivieren oder VLC zu deinstallieren.
Siehe dazu auch:
* VLC Media Player udp:// Format String Vulnerability, Fehlerbericht auf MOAB
Quelle und Links : http://www.heise.de/security/news/meldung/83116
-
Der Sicherheitsdienstleister Secunia hat zwei Lücken im Medienspieler MPlayer gemeldet, mit denen sich ein Anwender-PC kompromittieren lassen soll. Möglich wird dies durch Fehler in der Verarbeitung von CDDB-Daten. Nimmt ein Anwender Kontakt zu einem präparierten CDDB-Server auf, so lassen sich durch manipulierte CDDB-Einträge mit zu langen Alben- oder Kategorie-Titeln Buffer Overflows im Modul stream/stream_cddb.c provozieren, über die sich Schadcode auf einen Rechner schleusen und im Kontext des Anwenders starten lässt.
Die Fehler wurden in MPlayer 1.0rc1 gefunden, vorherige Versionen sind sehr wahrscheinlich ebenfalls betroffen. Ein Patch behebt das Problem. Zudem steht im Subversion-Respository Version 1.0rc1try3 bereit, in der die Fehler ebenfalls behoben sind. Anwender müssen sich die neue Version selbst übersetzen, eine Binär-Version steht noch nicht bereit. Alternativ empfehlen die Entwickler CDDB nicht mehr zu benutzen, freedb.freedb.org über die hosts-Datei statisch auf die IP-Adresse 127.0.0.1 umzuleiten oder MPlayer mit der Option --disable-cddb ohne CDDB-Unterstützung zu übersetzen.
Siehe dazu auch:
* MPlayer 1.0rc1try3 released, Ankündigung auf der MPlayer-Mailing-Liste
* MPlayer CDDB Parsing Buffer Overflows, Fehlerbericht von Secunia
Quelle und Links : http://www.heise.de/security/news/meldung/90765
-
Die Entwickler des quelloffenen VLC-Media-Player (VLC) haben die Version 0.8.6c veröffentlicht, die einige Sicherheitslücken beim Abspielen präparierter Mediendateien schließt. In einer Sicherheitsmeldung erläutern sie, dass die Unterstützungsmodule für die Formate Ogg Vorbis und Theora, CD Digital Audio (CDDA) und für das Service Announce Protocol (SAP) so genannte Format-String-Schwachstellen enthalten.
Dadurch können manipulierte .ogg/.ogm-Dateien, präparierte CDDB-Einträge und beispielsweise Netzwerkpakete im Service-Announce/Discovery-Protokoll an die Broadcast-Adresse eines lokalen Netzes schädlichen Programmcode einschleusen, der mit den Rechten des Anwenders zur Ausführung kommt. Die VLC-Programmierer stufen die Lücken daher als kritisch ein und empfehlen, die installierte Version auf die aktuelle Fassung 0.8.6c zu aktualisieren.
Siehe dazu auch:
* Download der aktuellen VLC-Version für verschiedene Plattformen
* Format string injection in Vorbis, Theora, SAP and CDDA plugins, Sicherheitsmeldung der VLC-Entwickler
Quelle und Links : http://www.heise.de/security/news/meldung/91446
-
Die Code Audit Labs haben eine Sicherheitsmeldung veröffentlicht, der zufolge der Media Player Classic und MPlayer beim Verarbeiten von manipulierten avi-Dateien patzen und Angreifer dadurch fremden Code einschleusen und ausführen könnten. Aktualisierte Software-Versionen gibt es bislang nicht.
Laut der Sicherheitsmeldung haben die Code Audit Labs avi-Dateien mit manipulierten Index-Chunks ausgestattet. Im avi-Containerformat dienen solche optionalen Index-Chunks dazu, einen Index der Daten-Chunks der avi-Datei bereitzustellen – es handelt sich quasi um ein Inhaltsverzeichnis. Die in so einem Index-Chunk gespeichert Werte überprüfen die betroffenen Media-Player offenbar nicht korrekt, wodurch beim Abspielen von sorgsam präparierten avi-Dateien eingeschleuster Schadcode zur Ausführung kommen kann. Laut Sicherheitsmeldung soll dabei ein Pufferüberlauf auf dem Heap auftreten, im Media Player Classic soll darüber hinaus ein Integer-Überlauf möglich sein.
Dem eigenen Bekunden nach haben die Sicherheitsforscher die MPlayer-Entwickler bereits Ende Juli über die Lücke informiert und auch eine Antwort erhalten. Dennoch ist keine neue Version von MPlayer verfügbar, im Versionsverwaltungssystem der Entwickler findet sich auch kein Hinweis auf einen Quellcode-Patch. Der Media Player Classic (MPC), der etwa auch bei der Verarbeitung von FLI-Dateien eingschleusten Code ausführen kann, wird offenbar nicht mehr weiterentwickelt; auf den Sourceforge-Projektseiten stehen immer noch die alten Versionen der Software zum Download bereit. Die Schwachstelle betrifft auch auf MPC basierende Player wie die chinesischen MyMPC oder StormPlayer. Nutzer solcher Programme sollten nach aktualisierten Versionen Ausschau halten, da deren Entwickler im Gegensatz zu Gabest möglicherweise noch aktiv sind.
Beim Media Player Classic können Anwender in den Optionen den verwendeten avi-Parser von intern auf den von Microsoft beim Betriebssystem mitgelieferten Parser umstellen, der die Schwachstellen den Tests der Code Audit Labs zufolge nicht enthält. MPlayer-Nutzer sollten bis zur Verfügbarkeit einer gepatchten Version avi-Dateien aus nicht vertrauenswürdigen Quellen wie P2P-Netzen meiden oder mit anderen Media-Playern abspielen. Ob die Option mplayer -demuxer lavf Abhilfe schafft, durch die MPlayer den libavcodec-avi-Demultiplexer nutzt, ist unbekannt.
Siehe dazu auch:
* Multiple vendor produce handling AVI file vulnerabilities, Sicherheitsmeldung der Code Audit Labs
* Download der aktuellen MPlayer-Version
Quelle und Links : http://www.heise.de/security/news/meldung/95940/Codeschmuggel-durch-avi-Dateien-in-Media-Player-Classic-und-MPlayer
-
Eine neue Version des VLC Mediaplayer schließt eine kritische Lücke in der Windows-Version. Der Fehler findet sich im ActiveX-Control (axvlc.dll) für den Internet Explorer. Aufgrund der unzureichenden Überprüfung übergebener Parameter kann eine bösartige Webseite Speicherbereiche überschreiben und so möglicherweise Code einschleusen und ausführen.
Betroffen sind die Versionen 0.8.6 bis einschließlich 0.8.6c. Versionen vor 0.8.6 sind nicht verwundbar. In Version 0.8.6d ist der Fehler beseitigt, vorkompilierte Binaries stehen auf den VLC-Seiten bereits zum Download bereit. Alternativ können Anwender auch auf Mozilla-basierende Browser wie Firefox und Seamonkey umsteigen und das VLC-Plug-in dafür nutzen.
Siehe dazu auch:
* Recursive plugin release vulnerability in Active X plugin, Fehlerbericht von VLC
* VLC Activex Bad Pointer Initialization Vulnerability, Fehlerbericht von Core Security
Quelle und Links : http://www.heise.de/newsticker/meldung/100050
-
Ein kürzlich veröffentlichter Exploit für einen Media-Codec der Firma 3ivx ermöglicht das Ausführen von beliebigem Code. Betroffen sind nicht nur alte Versionen des Windows Media Players, sondern auch WinAmp.
Das Sicherheitsunternehmen Symantec warnt vor einer Sicherheitslücke in einem Codec von 3ivx Technologies für MP4-Dateien. Anfällig für Angriffe mit speziell präparierten Dateien dieses Typs ist etwa der Windows Media Player 6.4, der mit Windows 95, 98 und NT ausgeliefert wurde. Aber auch neuere Versionen sind angreifbar, wenn der anfällige Codec installiert ist, ebenso der Media Player Classic (MPC) sowie WinAmp 5.32 von Nullsoft, warnt Raymond Ball von Symantec. Die aktuelle WinAmp-Version 5.5 sei hingegen nicht betroffen.
Alte, anfällige Versionen des Windows Media Players können auch auf neueren Systemen noch vorhanden sein, etwa als "mplayer2.exe" im Ordner "Programme\Windows Media Player". Ein Sicherheits-Update für die betroffenen Media Player gibt es derzeit nicht. Microsoft hätte zwar gestern im Rahmen des Patch Day die Gelegenheit gehabt einen solchen für den Windows Media Player bereit zu stellen, hat diese Chance jedoch allem Anschein nach nicht genutzt. Die neueste verfügbare Version 5.0.1 des 3ivx-Codecs ist ebenfalls angreifbar.
Als Vorsichtsmaßnahme sollte der MP4-Codec von 3ivx bis zur Verfügbarkeit eines Updates entfernt oder betroffene Media Player deaktiviert werden (Alternative: VLC Player 0.8.6d). Bei der Suche nach dem anfälligen MP4-Codec kann die Software "Codec Sniper" hilfreich sein, die alle installierten Codecs auflistet und das gezielte Löschen eines Codec ermöglicht. Er kann etwa als "3ivx MPEG-4 5.0.x DirectShow Video Decoder" (x: 0; 1), Dateiname "3ivxDSVideoDecoder.ax", in der Liste erscheinen.
Quelle : www.pcwelt.de
-
Im unter anderem für Linux, Mac OS und Windows erhältlichen VLC Mediaplayer wurden zwei als kritisch eingestufte Sicherheitslücken gefunden. Eine der beiden ist bereits seit dem Sommer bekannt und lässt sich bei der Wiedergabe von Daten mit VLC ausnutzen; über die zweite Lücke kann ein Angreifer von einem anderen System aus VLC unter seine Kontrolle bringen.
Bei der ersten Lücke handelt es sich um einen Buffer Overflow bei der Verarbeitung der Untertitel. Auf dieses Problem waren die Entwickler bereits Ende Juni aufmerksam gemacht worden und hatten es im Quellcodeverwaltungssystem alsbald korrigiert. Aber nur in der Entwicklungslinie, aus der irgendwann ein VLC mit einer Versionsnummern jenseits von 0.8.6 hervorgeht, und nicht in den 0.8.6 Entwicklungslinie -- auf dieser basieren aber alle in den vergangenen Monaten freigegebenen neuen Versionen, daher fehlt die Korrektur auch im erst Anfang dieses Monats freigegebenen Sicherheitsupdate 0.8.6d.
Der laut dem Fehlerbericht in der Standardeinstellung laufende Mini-Web-Server zur Kontrolle von VLC über den Webbrowser eines anderen Rechners ist für die zweite Lücke verantwortlich; der Code zur Kontrolle der Übertragungsparameter übergibt die vom Client gesendeten Daten ohne eine ausreichende Prüfung an eine andere Funktion weiter (format string in the web interface). Dadurch ist es möglich, Schadcode in den Speicher zu schreiben und zu starten. Dass der Server nach Ausführen dieser Funktion noch einige von ihr zurückgelieferte Informationen an den Client zurück gibt, kann einem Angreifer die Arbeit beim Ausnutzen der Lücke noch Erleichtern.
Auch dieser Fehler wurde im VLC-Quellcodeverwaltungsystem behoben. Eine neue Version, die diese Lücken korrigiert, ist allerdings noch nicht erhältlich. Die Entwickler erwägen gerade im Rahmen einer Diskussion um ein weiteres potentielles Sicherheitsproblem die Veröffentlichung einer Version 0.8.6e Anfang Januar.
Quelle : www.heise.de
-
Anwender des freien Mediaplayers MPlayer können schon mal den Compiler warmlaufen lassen, denn es gilt, die Quellen nebst drei Sicherheits-Patches neu zu übersetzen. Andernfalls laufen Anwender Gefahr, dass ein Angreifer über Lücken in MPlayer ein System kompromittieren kann. Ursache der Probleme sind ein Buffer Overflow in der Funktion url_escape_string der Datei stream/url.c beim Verarbeiten bestimmter URLs.
Zudem tritt beim Parsen präparierter MOV-Dateien ein Array-Indexing-Fehler in der Funktion mov_build_index der Datei libmpdemux/demux_mov.c auf. Darüber hinaus können Kommentare in FLAC-Dateien ebenfalls einen Buffer Overflow in get_flac_metadata (libmpdemux/demux_audio.c) provozieren. Schließlich findet sich noch ein Pufferüberlauf im Code zur Auswertung der Antworten von CDDB-Servern. Betroffen sind die Version 1.0rc2 und frühere Fassungen. Sofern die Quellen aus dem Subversion-Repository stammen, reicht auch ein Update (svn up), statt die Patches einzeln zu installieren.
Siehe dazu auch:
* Fehlerberichte und Patches, auf MPlayerhq.hu
* MPlayer arbitrary pointer dereference, Fehlerbericht von CORE Security
* MPlayer 1.0rc2 buffer overflow vulnerability, Fehlerbericht von CORE Security
Quelle : http://www.heise.de/newsticker/meldung/103024
-
Eine Schwachstelle in der Windows-Version des VLC media player lässt sich nach Angaben des Sicherheitsdienstleisters Secunia möglicherweise ausnutzen, um ein System zu kompromittieren. Dazu muss ein Angreifer ein Opfer dazu bringen, eine Playlist-Datei mit einer zu langen smb://-URI zu öffnen. Ursache des Problems ist ein Buffer Overflow in der Funktion Win32AddConnection in modules/access/smb.c.
Der Fehler wurde in der Version 0.9.9 entdeckt, andere Versionen enthalten den Fehler wahrscheinlich ebenfalls. Die VLC-Entwickler haben ihn im git-Repository zwar bereits behoben, bezeichnen ihn aber nur als DoS-Schwachstelle, der zum Absturz des Players führt. Offiziell steht weiterhin nur die Version 0.9.9 als Quellcode und als Binärpaket für Windows und Mac OS X zum Download bereit.
Siehe dazu auch:
* Fix a segfault (buffer overflow for win32 only) (http://git.videolan.org/?p=vlc.git;a=commit;h=e60a9038b13b5eb805a76755efc5c6d5e080180f)
* VLC Media Player SMB Input Module Buffer Overflow Vulnerability (http://secunia.com/advisories/35558/)
Quelle : www.heise.de (http://www.heise.de)
-
In den populären Mediaplayer Anwendungen MPlayer und VLC Player existiert eine hochkritische Sicherheitslücke, über die Angreifer Schadcode einspeisen können.
Laut einer Meldung von Security Focus tritt die Sicherheitslücke in allen aktuellen Versionen von MPlayer (bis 1.0rc2) und VLC Player (bis 1.0.0) auf. Die Schwachstelle wird nicht im Detail beschrieben. Sie soll durch die mangelhafte Überprüfung von Benutzereingaben (über Mediendateien) entstehen. Ein öffentlicher Exploit ist bislang nicht bekannt. Es wird empfohlen, keine Dateien aus unbekannter Herkunft über die beiden Player abzuspielen.
Die Sicherheitslücke wurde im CVS Repository von VLC Player bereits behoben und wird in die nächste Release integriert. Für MPlayer existiert ein manueller Patch (http://git.videolan.org/?p=vlc.git;a=commitdiff;h=dc74600c97eb834c08674676e209afa842053aca), der in den Quellkode eingearbeitet werden muss.
Quelle : http://www.tecchannel.de (http://www.tecchannel.de)
Siehe auch hier : VLC Media Player 1.0.1 erschienen (http://beta.dvbcube.org/index.php?topic=6535.msg115265#msg115265)
-
Die Entwickler des VLC media player haben die Version 1.0.2 veröffentlicht, die mehrere kritische Sicherheitslücken schließt. So lassen sich in den Demuxer-Plug-ins für MP4, ABVI und ASF mit präparierten Mediadateien Buffer Overflows provozieren und darüber Code einschleusen und starten. Neben dem Update stehen auch Patches im Repository bereit. Alternativ schlagen die Entwickler als Workaround vor, die betroffenen Plug-ins libmp4_plugin.*, libavi_plugin.* und libasf_plugin.* manuell im Installationsverzeichnis zu löschen – ohne das AVI Plug-in dürfte jedoch bei den meisten Anwendern kaum Freude aufkommen.
Darüber hinaus hat der Sicherheitsdienstleister Secunia auf mehrere Schwachstellen in FFmpeg, einer freien Tool- und Bibliothekssammlung zum Verarbeiten digitaler Video- und Audiodaten hingewiesen. Unter anderem nutzen VLC sowie MPlayer und xine die Sammlung. Die Fehler reichen von Null-Pointer-Dereferenzierungen und Speicherfehlern bis hin zu Heap Overflows in verschiedenen Funktionen zu Verarbeitungen diverser Medienformate. Angreifer können die Lücken ausnutzen, um ein System zum Absturz zu bringen oder zu kompromittieren. Laut Bericht sind die Fehler in der offiziellen Version 0.5 zu finden, einige der Fehler sollen aber bereits im Repository beseitigt sein.
Quelle : www.heise.de
-
Virtual Security Research (VSR) hat im VLC Media Player eine Schwachstelle ausgemacht. Im VLC Media Player bis Version 1.1.5 kann über präparierte Dateien Code eingeschleust werden, die im Demultiplexer einen Pufferüberlauf verursachen. Anwender müssen dazu explizit die präparierte Datei öffnen. Bis Patches für die Player-Versionen erscheinen, sollten Anwender deshalb keine Files aus unbekannten Quellen öffnen. Der VLC Media Player 1.1.6 soll den Fehler beheben, für Windows bietet Videolan diese Version bislang allerdings noch nicht an.
Quelle : www.heise.de
-
Der im VLC Media Player verwendete Dekoder für Videos im vergleichsweise selten genutzten CDG-Format weist eine kritische Lücke auf. Bei der Verarbeitung von Filmen dieses Formats könnten zwei Heap Overflows zum Einschleusen und Starten von Code genutzt werden. Im zugehörigen Repository sind die Fehler bereits beseitigt, in der offiziellen Version des VLC-Players hingegen noch nicht. Via GIT steht jedoch ein Patch (http://git.videolan.org/?p=vlc.git;a=commit;h=f9b664eac0e1a7bceed9d7b5854fd9fc351b4aab) als Quellcode für Version 1.1.5 für VLC bereit.
Aufgrund der Tatsache, dass der Code des Decoders in vorangegangenen Versionen nur geringfügige Veränderungen erfahren hat, sollte der Patch das Problem auch in älteren Versionen vor 1.1.5. ordnungsgemäß beheben.
Quelle : www.heise.de
-
Die neue Version des VLC-Player beseitigt nach Angaben der Entwickler Sicherheitslücken im Demuxer-Plug-in für Real Media sowie die am Wochenende gemeldeten Lücke im CDG-Decoder. Daneben bringt Version 1.1.6 einige Verbesserungen mit, etwa schnelleres Webm/VP8-Decoding, Unterstützung für RTP/PCM mit 24 Bit sowie Unterstützung für das Audiokompressionsformat MPC SV7/SV8 unter Windows und Mac OS X. Zudem beseitigt das Update mehrere kleinere Fehler.
Die neue Version steht ab sofort zum Download zur Verfügung. Anwender sollten über das Autoupdate auf die neue Version hingewiesen werden. Am vergangenen Wochenende endete der Support für VLC 1.0. Anwender älterer Versionen sollten also auf 1.1.6 upgraden.
Quelle : www.heise.de
-
Erst vergangene Woche schloß das Update 1.1.6 eine kritische Lücke im Mediaplayer VLC. Nun meldet der Hersteller eine neue Lücke, durch die sich mit präparierten Filmen im MKV-Format (für Matroska Video und WebM) Schadcode auf einen PC schleusen und mit den Rechten des Anwenders starten lässt. Betroffen sind die Version 1.1.6 und vorhergehende.
Ursache des Problems ist ein nicht typsicherer Vergleich von IDs im Demuxer des MKV-Plug-ins (libmkv_plugin.*). Das Update besteht im Austausch einer einzigen Zeile eines Makros. Die Änderung (http://git.videolan.org/?p=vlc.git&a=commitdiff&h=59491dcedffbf97612d2c572943b56ee4289dd07&hp=f085cfc1c95b922e3c750ee93ec58c3f2d5f7456) ist bislang jedoch erst im GIT-Repository eingepflegt. Es ist damit zu rechnen, dass in Kürze die offizielle Version 1.1.7 erscheint.
Alternativ empfehlen die Entwickler, das fehlerhafte Plug-in manuell im Installationsverzeichnis zu löschen. Da aber MKV mittlerweile eines der häufigsten Formate für HD-Video ist, dürfte ein Update sinnvoller sein.
Quelle : www.heise.de
-
Die aktuelle Version 1.1.8 (und älter) des quelloffenen Medienabspielers VLC ist verwundbar: Durch zwei kritische Sicherheitslücken kann das System beim Öffnen von präparierten Mediendateien mit Schadcode infiziert werden. Da auch das Browser-Plugin betroffen ist, kann bereits der Besuch einer manipulierten Webseite ausreichen. Die Buffer-Overflow-Lücken befinden sich in den Plugins libmp4 und libmodplug. Angreifer können ihren Code in MP4- und S3M-Dateien verstecken.
Abhilfe soll die Version 1.1.9 schaffen, die allerdings noch nicht fertig ist. Die Entwickler empfehlen, bis zur Veröffentlichung der gepatchten Version keine Dateien aus unseriösen Quellen zu öffnen und auch beim Surfen Vorsicht walten zu lassen, was aber schwer in die Praxis umzusetzen sein dürfte. Wenn man die beiden Erweiterungen aus dem Plugin-Verzeichnis von VLC entfernt, ist das Programm nicht mehr verwundbar – und spielt die entsprechenden Formate allerdings auch nicht mehr ab. Wer unbehelligt im Netz unterwegs sein will, sollte zudem das Browser-Plugin deaktivieren.
Quelle : www.heise.de
-
Das VLC-Entwicklerteam hat mit Version 1.1.10 eine kritische Integer-Overflow-Lücke bei der Verarbeitung von XSPF-Playlisten geschlossen, durch die Angreifer Code ins System einschleusen können. Hierzu muss der Angreifer das Opfer lediglich dazu bringen, eine präparierte XSPF-Playlist zu öffnen. Das XSPF-Format basiert auf XML und dient dem Austausch von Wiedergabelisten. In der Windows- und Mac-OS-X-Portierung wurde zudem die verwundbare Version der libmodplug-Bibliothek auf den neuesten Stand gebracht. Secunia hat bereits vor über einem Monat auf diese Schwachstellen hingewiesen.
Die Entwickler haben unter anderem auch weitere Bibliotheken aktualisiert, diverse Übersetzungen überarbeitet und den Linux-Soundserver PulseAudio verbessert. Der Versionscheck innerhalb von VLC hält die verwundbare Version 1.1.9 derzeit noch für aktuell. Da das Update kritische Lücken schließt, sollte man umgehend auf die neue Version umsteigen.
Quelle : www.heise.de
-
VLC-Entwickler Ludovic Fauvet warnt in seinem Blog vor mit Malware gespickten Forks der Anwendung, die auf dem VLC-Quellcode basieren. Die illegalen VLC-Klone werden auf professionell gestalteten Webseiten zum Download angeboten, "funktionieren jedoch nicht wie erwartet, lassen sich nicht deinstallieren und verletzten die Privatsphäre der Anwender", erklärt der Entwickler. Fauvet hat eine ganze Liste von Seiten veröffentlicht, die Schindluder mit dem geistigen Eigentum des VLC-Entwicklerteams treiben.
(http://www.heise.de/imgs/18/6/8/8/4/6/6/286c236f94a4bf0b.png)
Alles nur geklaut: Wer hier VLC herunterlädt,
holt sich Adware auf den Rechner.
Die Kriminellen nutzen Googles Werbeprogramm AdWords, um ihre präparierte Software neben den Suchergebnissen zu VLC Media Player zu promoten. Laut Fauvet werden auch andere Open-Source-Projekte auf diese Weise missbraucht: "Wir können wenig dagegen tun. Die Kriminellen haben das Geld, um AdWords zu kaufen, wir nicht. Als Non-Profit-Organisation haben wir auch nicht das Geld, um sie zu verklagen. Wir versuchen ständig, unser geistiges Eigentum im Sinne unserer Nutzer zu schützen." Zur eigenen Sicherheit soll man sich VLC ausschließlich auf der offiziellen Projektseite herunterladen.
Aber auch mit der dort aktuell angebotenen Version 1.1.10 ist man in Gefahr, da sie zwei kritische Sicherheitslücken aufweist. Durch einen Heap-Overflow in den Demuxern für AVI und RealMedia kann man sein System beim Öffnen verseuchter Dateien in den beiden Formaten mit Schadcode infizieren. Für verseuchte AVI-Dateien sind die VLC-Versionen 0.5.0 bis zur aktuellen 1.1.10 anfällig, die Lücke im RealMedia-Demuxer betrifft VLC 1.1.0 bis hin zu aktuellen 1.1.10.
Abhilfe schafft die Version 1.1.11, die in Kürze erscheinen soll. Bis dahin kann man sich damit behelfen, die beiden Demuxer (unter Windows "libmux_avi_plugin.dll" und "libaccess_realrtsp_plugin.dll") aus dem Plugins-Ordner von VLC zu löschen – was allerdings dazu führt, dass VLC die beiden Formate nicht mehr abspielen kann.
Quelle : www.heise.de
-
Version 1.1.12 (und älter) des quelloffenen Multimediaplayers VLC enthält eine kritische Lücke, durch die ein Angreifer das System mit Schadcode infizieren kann. Die Buffer-Overflow-Lücke befindet sich im TiVo-Demuxer, der Code wird beim Abspielen einer verseuchten Videodatei ausgeführt. Da auch das Browser-Plugin verwundbar ist, genügt unter Umständen auch schon der Besuch einer speziell präparierten Webseite.
Abhilfe soll das in Kürze erscheinende Update auf Version 1.1.13 schaffen, das zudem weitere, nicht sicherheitsrelevante Bugs beseitigt. Wer auf die TiVo-Unterstützung verzichten kann und sofort handeln möchte, löscht das verwundbare Plugin (libty_plugin.*) einfach aus dem Plugin-Verzeichnis. Windows-Nutzer können die Datei durch eine fehlerbereinigte Version (http://download.videolan.org/pub/videolan/vlc/1.1.13/win32/) ersetzen.
Quelle : www.heise.de
-
Mit der kürzlich veröffentlichten VLC-Version 2.0.2 beheben die Entwickler nicht nur hunderte Bugs, sondern haben auch eine kritische Schwachstelle beseitigt, wie jetzt bekannt wurde. Durch die Lücke führt der Medienabspieler beim Öffnen speziell präparierter Ogg-Vorbis-Dateien unter Umständen Schadcode aus. Da VLC auch ein Browser-Plugin mitbringt, kann möglicherweise auch schon der Besuch einer Webseite zur Infektion des Rechners führen.
Die Ursache ist eine fehlerhafte Bereichsüberprüfung in der Funktion Ogg_DecodePacket(), die zu einem Pufferüberlauf auf dem Heap führen kann. Wer den quelloffenen Medienabspieler nutzt, sollte umgehend sicherstellen, dass die aktuelle Version installiert ist.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/9/6/4/7/3/1/23b1629acfa3790a.png)
Nutzer des verbreiteten Video-Tools VLC Media Player sollten das Programm zeitnah auf Version 2.0.5 (http://www.videolan.org/vlc/releases/2.0.5.html) aktualisieren, rät das BSI (https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T13-0001). Das Update behebt eine Schwachstelle, durch die Angreifer Schadcode einschleusen und mit den Rechten des angemeldeten Nutzers auszuführen können. Es genügt, eine speziell präparierte Webseite, Mail oder Mediendatei zu öffnen, um sich zu infizieren. Darüber hinaus haben die Entwickler zahlreiche Bugs behoben.
Quelle : www.heise.de
-
In der aktuellen Version 2.0.5 des VLC Media Player und älteren klafft ein Sicherheitsloch, das sich potenziell zum Einschleusen von Schadcode eignet, warnen die Entwickler. Die Lücke befindet sich in der Funktion DemuxPacket() des ASF-Demuxers. Bei der Verarbeitung speziell präparierter ASF-Dateien kommt es zum Pufferüberlauf. Da VLC standardmäßig auch Browser-Plug-ins mitinstalliert, können solche Dateien auch auf Webseiten lauern, wo sie ohne Zutun des Nutzers ausgeführt werden.
Man sollte zum einen also besser auf das Öffnen von ASF-Dateien aus nicht vertrauenswürdigen Quellen verzichten und zum anderen das VLC-Plug-in innerhalb des Browsers abschalten. Alternativ kann man den verwundbaren ASF-Demuxer aus dem Plug-in-Ordner löschen. Unter Windows lautet der Dateipfad ausgehend vom Programmordner in \VLC\plugins\demux\libasf_plugin.dll. Die Entwickler haben eine abgesicherte Version 2.0.6 in Aussicht gestellt, die in Kürze erscheinen soll.
Quelle : www.heise.de
-
Eine Schwachstelle in GnuTLS kann offenbar auch VLC-Nutzern zum Verhängnis werden: Versucht der Mediaplayer einen Stream von einem präparierten Server zu öffnen, droht die Infektion mit Schadcode.
Der Medienabspieler VLC ist bis zur aktuellen Version 2.1.4 anfällig für eine kritische Lücke (http://www.heise.de/newsticker/meldung/OpenSSL-Alternative-GnuTLS-flickt-weiteren-kritischen-Bug-2215831.html) in der Krypto-Bibliothek GnuTLS. Dies geht aus dem Changelog zur Folgeversion hervor (http://www.videolan.org/developers/vlc-branch/NEWS), welche allerdings noch nicht als Binary zum Download bereitsteht. Die Lücke klafft in der ServerHello-Funktion von GnuTLS. Ein Server kann beim Client einen Pufferüberlauf auslösen, der sich sogar zum Einschleusen von Schadcode eignen soll. Passende Exploits kursieren bereits im Netz.
Um VLC zu attackieren, muss der Angreifer den Player dazu bringen, eine verschlüsselte Verbindung mit einem speziell präparierten Server aufzubauen; etwa über einen Link oder eine VLC-Playlist. Wann die abgesicherte Version 2.1.5 in installierbarer Form erscheint, ist derzeit noch unklar. Es dürfte sich aber nur noch um Tage handeln. Mit dieser Version beheben die Entwickler außerdem eine Denial-of-Service-Lücke in libpng sowie diverse Bugs.
Quelle : www.heise.de
-
Angreifer können aufgrund von Sicherheitslücken im VLC-Player die Speicherverwaltung überlisten und beliebigen Code ausführen. Obwohl die Lücken bereits seit Ende vergangenen Jahres bekannt sind, lässt die finale abgesicherte Version noch auf sich warten.
Die aktuelle Ausführung des Medienplayers VLC (2.1.5) weist zwei Schwachstellen auf, über die Angreifer einen Speicherfehler verursachen und beliebigen Code ausführen könnten. Auf die Lücken wies der Sicherheitsexperte Veysel Hatas die VLC-Entwickler bereits Ende vergangenen Jahres hin. Der Experte stuft die Sicherheitslücken als kritisch ein.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Schwachstellen-im-VLC-Player-ermoeglichen-Code-Ausfuehrung-2535794.html)
Quelle : www.heise.de
-
Forscher haben Lücken in Kodi, VLC, Popcorn Time und Stremio entdeckt, über die sie mit Hilfe von Untertitel-Daten Schadcode ausführen können. Auf diesem Wege gelang es ihnen, den Rechner des Opfers zu kapern.
Viele beliebte Mediaplayer sind über Schwachstellen bei der Verarbeitung von Untertitel-Dateien angreifbar. Auf diesem Wege lässt sich mit den Playern von VLC, Kodi, Popcorn Time und Stremio beliebiger Schadcode auf dem System des Opfers ausführen. Da die Untertitel-Dateien oft von zentralen Diensten im Netz heruntergeladen werden, könnte ein Angreifer mit manipulierten Subtitle-Daten für populäre Filme eine große Anzahl von Anwendern angreifen.
Die Forscher der Sicherheitsfirma Checkpoint, welche die Lücken entdeckt haben, schätzen diese als äußerst kritisch ein und haben deswegen keine technischen Details bekannt gegeben. Sie wollen den Entwicklern der verschiedenen Mediaplayer erst einmal genügend Zeit geben, die Lücken zu stopfen und die Updates zu verteilen. Checkpoint schätzt, dass bis zu 200 Millionen Nutzer betroffen sein könnten. Allerdings fällt die Sicherheitsfirma immer wieder durch sensationshaschende Einschätzungen der eigenen Lücken auf. Die genaue Anzahl der verwundbaren Systeme ist nur schwer abschätzbar.
Kodi, VLC und Stremio haben ihre Software bereits mit Updates versorgt, welche die Remote-Code-Execution-Lücken schließen. Die aktuelle Popcorn-Time-Version ist nach wie vor verwundbar, allerdings gibt es eine Entwicklungs-Version, die einen entsprechenden Patch enthält. Einem besonderen Risiko sind vor allem Player ausgesetzt, die Untertitel automatisch herunterladen. Den Forschern ist es nach eigenen Angaben gelungen, die Ranking-Systeme verschiedener Subtitle-Anbieter so zu manipulieren, dass ihre bösartigen Dateien automatisch heruntergeladen wurden. Ob neben Windows auch die andere Betriebssysteme über die Mediaplayer-Lücken gekapert werden können, geht aus den Veröffentlichungen von Checkpoint bisher nicht hervor.
Quelle : www.heise.de