Zwei Sicherheitslücken in VLC

Der beliebte Mediaplayer VLC weist in der derzeitigen Version 1.1.8 zwei gefährliche Sicherheitslücken auf. Wird eine manipulierte Datei geöffnet, kann Schadcode das System infizieren. Betroffen sind die Versionen 1.1.8 bis hinunter zu 1.0.0.

Nicht nur der VLC-Player selbst, sondern auch das Browser-Plugin ist von dem Problem betroffen. Dadurch wird die Lücke um so gefährlicher, da es schon ausreicht, eine präparierte Datei im Internet zu öffnen. Durch einen Buffer Overflow in den Dateien libmp4 und libmod kann Schadcode aus MP4- und S3M Dateien injiziert werden.

Die Entwickler integrieren derweil einen Patch für Version 1.1.9 des Players. Bis dahin sollte man darauf achten, nur Dateien zu öffnen, die man kennt und denen man vertraut. Die Sicherheitslücken sind dokumentiert, ein Workaround ist das Deaktivieren des Browser-Pugins oder das Entfernen der Datei libmp4_plugin.* aus dem Installationsverzeichnis von VLC - auch wenn dann die genannten Formate nicht mehr abgespielt werden.