Patchen bitte: VLC & Co. haben sich ein Sicherheitsproblem eingetreten

Der zugrundeliegende Fehler ist in einer Bibliothek namens LIVE555 zu finden. Diese wird von diversen Wiedergabe-Programmen verwendet, wenn es darum geht, den Umgang mit verschiedenen Streaming-Protokollen umzusetzen. Die Library kann immerhin die Codecs MPEG, H.265, H.264, H.263 +, VP8, DV, JPEG, MPEG, AAC, AMR, AC-3 und Vorbis allesamt auf den RTP/RTCP-, RTSP- und SIP-Protokollen abbilden.

Die Sicherheitslücke, die in den einschlägigen Datenbanken unter der Kennung CVE-2018-4013 zu finden ist, öffnet Angreifern über den HTTP-Parser einen tiefergehenden Zugang zu den jeweiligen Systemen. Dort wo sonst eigentlich nur die HTTP-Header von Paketen, die aus Streaming-Tunneln herausfallen, ausgewertet werden, lässt sich nun auch fremder Code anlanden. Über einen Puffer-Überlauf kippt dieser dann in den allgemeinen Arbeitsspeicher und kann dort ausgeführt werden.

Patches sind schon da

Über ein Paket, das in den Datenstrom eines Videos aus dem Netz eingeschleust wird, lässt sich so letztlich ein weitergehender Zugang zu dem jeweiligen Rechner öffnen. Am Ende droht dann eine komplette Übernahme des Systems durch den Angreifer. Ob dies schon in der Praxis vorgekommen ist, kann derzeit nicht bestätigt werden.

Allerdings haben interessierte Kreise aus dem kriminellen Milieu durchaus schon die Möglichkeit gehabt, auf die Schwachstelle aufmerksam zu werden. Denn in der Kommunikation der Entwickler-Teams, die im Open Source-Bereich offen zugänglich ist, wurde das Problem bereits vor einiger Zeit debattiert. Inzwischen haben die jeweiligen Teams neue Versionen ihrer Anwendungen veröffentlicht, so dass Nutzer, die auf dem aktuellsten Stand sind, zumindest von dieser Seite aus nichts mehr zu befürchten haben.

Download VLC Media Player - Umfassender Audio- & Video-Player