Thema: VLC Media Player / MPlayer

[SiLæncer]

Der im VLC Media Player verwendete Dekoder für Videos im vergleichsweise selten genutzten CDG-Format weist eine kritische Lücke auf. Bei der Verarbeitung von Filmen dieses Formats könnten zwei Heap Overflows zum Einschleusen und Starten von Code genutzt werden. Im zugehörigen Repository sind die Fehler bereits beseitigt, in der offiziellen Version des VLC-Players hingegen noch nicht. Via GIT steht jedoch ein Patch als Quellcode für Version 1.1.5 für VLC bereit.

Aufgrund der Tatsache, dass der Code des Decoders in vorangegangenen Versionen nur geringfügige Veränderungen erfahren hat, sollte der Patch das Problem auch in älteren Versionen vor 1.1.5. ordnungsgemäß beheben.

Quelle : www.heise.de

[SiLæncer]

Die neue Version des VLC-Player beseitigt nach Angaben der Entwickler Sicherheitslücken im Demuxer-Plug-in für Real Media sowie die am Wochenende gemeldeten Lücke im CDG-Decoder. Daneben bringt Version 1.1.6 einige Verbesserungen mit, etwa schnelleres Webm/VP8-Decoding, Unterstützung für RTP/PCM mit 24 Bit sowie Unterstützung für das Audiokompressionsformat MPC SV7/SV8 unter Windows und Mac OS X. Zudem beseitigt das Update mehrere kleinere Fehler.

Die neue Version steht ab sofort zum Download zur Verfügung. Anwender sollten über das Autoupdate auf die neue Version hingewiesen werden. Am vergangenen Wochenende endete der Support für VLC 1.0. Anwender älterer Versionen sollten also auf 1.1.6 upgraden.

Quelle : www.heise.de

[SiLæncer]

Erst vergangene Woche schloß das Update 1.1.6 eine kritische Lücke im Mediaplayer VLC. Nun meldet der Hersteller eine neue Lücke, durch die sich mit präparierten Filmen im MKV-Format (für Matroska Video und WebM) Schadcode auf einen PC schleusen und mit den Rechten des Anwenders starten lässt. Betroffen sind die Version 1.1.6 und vorhergehende.

Ursache des Problems ist ein nicht typsicherer Vergleich von IDs im Demuxer des MKV-Plug-ins (libmkv_plugin.*). Das Update besteht im Austausch einer einzigen Zeile eines Makros. Die Änderung ist bislang jedoch erst im GIT-Repository eingepflegt. Es ist damit zu rechnen, dass in Kürze die offizielle Version 1.1.7 erscheint.

Alternativ empfehlen die Entwickler, das fehlerhafte Plug-in manuell im Installationsverzeichnis zu löschen. Da aber MKV mittlerweile eines der häufigsten Formate für HD-Video ist, dürfte ein Update sinnvoller sein.

Quelle : www.heise.de

[SiLæncer]

Die aktuelle Version 1.1.8 (und älter) des quelloffenen Medienabspielers VLC ist verwundbar: Durch zwei kritische Sicherheitslücken kann das System beim Öffnen von präparierten Mediendateien mit Schadcode infiziert werden. Da auch das Browser-Plugin betroffen ist, kann bereits der Besuch einer manipulierten Webseite ausreichen. Die Buffer-Overflow-Lücken befinden sich in den Plugins libmp4 und libmodplug. Angreifer können ihren Code in MP4- und S3M-Dateien verstecken.

Abhilfe soll die Version 1.1.9 schaffen, die allerdings noch nicht fertig ist. Die Entwickler empfehlen, bis zur Veröffentlichung der gepatchten Version keine Dateien aus unseriösen Quellen zu öffnen und auch beim Surfen Vorsicht walten zu lassen, was aber schwer in die Praxis umzusetzen sein dürfte. Wenn man die beiden Erweiterungen aus dem Plugin-Verzeichnis von VLC entfernt, ist das Programm nicht mehr verwundbar – und spielt die entsprechenden Formate allerdings auch nicht mehr ab. Wer unbehelligt im Netz unterwegs sein will, sollte zudem das Browser-Plugin deaktivieren.

Quelle : www.heise.de

[SiLæncer]

Das VLC-Entwicklerteam hat mit Version 1.1.10 eine kritische Integer-Overflow-Lücke bei der Verarbeitung von XSPF-Playlisten geschlossen, durch die Angreifer Code ins System einschleusen können. Hierzu muss der Angreifer das Opfer lediglich dazu bringen, eine präparierte XSPF-Playlist zu öffnen. Das XSPF-Format basiert auf XML und dient dem Austausch von Wiedergabelisten. In der Windows- und Mac-OS-X-Portierung wurde zudem die verwundbare Version der libmodplug-Bibliothek auf den neuesten Stand gebracht. Secunia hat bereits vor über einem Monat auf diese Schwachstellen hingewiesen.

Die Entwickler haben unter anderem auch weitere Bibliotheken aktualisiert, diverse Übersetzungen überarbeitet und den Linux-Soundserver PulseAudio verbessert. Der Versionscheck innerhalb von VLC hält die verwundbare Version 1.1.9 derzeit noch für aktuell. Da das Update kritische Lücken schließt, sollte man umgehend auf die neue Version umsteigen.

Quelle : www.heise.de

[SiLæncer]

VLC-Entwickler Ludovic Fauvet warnt in seinem Blog vor mit Malware gespickten Forks der Anwendung, die auf dem VLC-Quellcode basieren. Die illegalen VLC-Klone werden auf professionell gestalteten Webseiten zum Download angeboten, "funktionieren jedoch nicht wie erwartet, lassen sich nicht deinstallieren und verletzten die Privatsphäre der Anwender", erklärt der Entwickler. Fauvet hat eine ganze Liste von Seiten veröffentlicht, die Schindluder mit dem geistigen Eigentum des VLC-Entwicklerteams treiben.

Alles nur geklaut: Wer hier VLC herunterlädt,
holt sich Adware auf den Rechner.

Die Kriminellen nutzen Googles Werbeprogramm AdWords, um ihre präparierte Software neben den Suchergebnissen zu VLC Media Player zu promoten. Laut Fauvet werden auch andere Open-Source-Projekte auf diese Weise missbraucht: "Wir können wenig dagegen tun. Die Kriminellen haben das Geld, um AdWords zu kaufen, wir nicht. Als Non-Profit-Organisation haben wir auch nicht das Geld, um sie zu verklagen. Wir versuchen ständig, unser geistiges Eigentum im Sinne unserer Nutzer zu schützen." Zur eigenen Sicherheit soll man sich VLC ausschließlich auf der offiziellen Projektseite herunterladen.

Aber auch mit der dort aktuell angebotenen Version 1.1.10 ist man in Gefahr, da sie zwei kritische Sicherheitslücken aufweist. Durch einen Heap-Overflow in den Demuxern für AVI und RealMedia kann man sein System beim Öffnen verseuchter Dateien in den beiden Formaten mit Schadcode infizieren. Für verseuchte AVI-Dateien sind die VLC-Versionen 0.5.0 bis zur aktuellen 1.1.10 anfällig, die Lücke im RealMedia-Demuxer betrifft VLC 1.1.0 bis hin zu aktuellen 1.1.10.

Abhilfe schafft die Version 1.1.11, die in Kürze erscheinen soll. Bis dahin kann man sich damit behelfen, die beiden Demuxer (unter Windows "libmux_avi_plugin.dll" und "libaccess_realrtsp_plugin.dll") aus dem Plugins-Ordner von VLC zu löschen – was allerdings dazu führt, dass VLC die beiden Formate nicht mehr abspielen kann.

Quelle : www.heise.de

[SiLæncer]

Version 1.1.12 (und älter) des quelloffenen Multimediaplayers VLC enthält eine kritische Lücke, durch die ein Angreifer das System mit Schadcode infizieren kann. Die Buffer-Overflow-Lücke befindet sich im TiVo-Demuxer, der Code wird beim Abspielen einer verseuchten Videodatei ausgeführt. Da auch das Browser-Plugin verwundbar ist, genügt unter Umständen auch schon der Besuch einer speziell präparierten Webseite.

Abhilfe soll das in Kürze erscheinende Update auf Version 1.1.13 schaffen, das zudem weitere, nicht sicherheitsrelevante Bugs beseitigt. Wer auf die TiVo-Unterstützung verzichten kann und sofort handeln möchte, löscht das verwundbare Plugin (libty_plugin.*) einfach aus dem Plugin-Verzeichnis. Windows-Nutzer können die Datei durch eine fehlerbereinigte Version ersetzen.

Quelle : www.heise.de

[SiLæncer]

Mit der kürzlich veröffentlichten VLC-Version 2.0.2 beheben die Entwickler nicht nur hunderte Bugs, sondern haben auch eine kritische Schwachstelle beseitigt, wie jetzt bekannt wurde. Durch die Lücke führt der Medienabspieler beim Öffnen speziell präparierter Ogg-Vorbis-Dateien unter Umständen Schadcode aus. Da VLC auch ein Browser-Plugin mitbringt, kann möglicherweise auch schon der Besuch einer Webseite zur Infektion des Rechners führen.

Die Ursache ist eine fehlerhafte Bereichsüberprüfung in der Funktion Ogg_DecodePacket(), die zu einem Pufferüberlauf auf dem Heap führen kann. Wer den quelloffenen Medienabspieler nutzt, sollte umgehend sicherstellen, dass die aktuelle Version installiert ist.

Quelle : www.heise.de

[SiLæncer]

Nutzer des verbreiteten Video-Tools VLC Media Player sollten das Programm zeitnah auf Version 2.0.5 aktualisieren, rät das BSI. Das Update behebt eine Schwachstelle, durch die Angreifer Schadcode einschleusen und mit den Rechten des angemeldeten Nutzers auszuführen können. Es genügt, eine speziell präparierte Webseite, Mail oder Mediendatei zu öffnen, um sich zu infizieren. Darüber hinaus haben die Entwickler zahlreiche Bugs behoben.

Quelle : www.heise.de

[SiLæncer]

In der aktuellen Version 2.0.5 des VLC Media Player und älteren klafft ein Sicherheitsloch, das sich potenziell zum Einschleusen von Schadcode eignet, warnen die Entwickler. Die Lücke befindet sich in der Funktion DemuxPacket() des ASF-Demuxers. Bei der Verarbeitung speziell präparierter ASF-Dateien kommt es zum Pufferüberlauf. Da VLC standardmäßig auch Browser-Plug-ins mitinstalliert, können solche Dateien auch auf Webseiten lauern, wo sie ohne Zutun des Nutzers ausgeführt werden.

Man sollte zum einen also besser auf das Öffnen von ASF-Dateien aus nicht vertrauenswürdigen Quellen verzichten und zum anderen das VLC-Plug-in innerhalb des Browsers abschalten. Alternativ kann man den verwundbaren ASF-Demuxer aus dem Plug-in-Ordner löschen. Unter Windows lautet der Dateipfad ausgehend vom Programmordner in \VLC\plugins\demux\libasf_plugin.dll. Die Entwickler haben eine abgesicherte Version 2.0.6 in Aussicht gestellt, die in Kürze erscheinen soll.

Quelle : www.heise.de

[SiLæncer]

Eine Schwachstelle in GnuTLS kann offenbar auch VLC-Nutzern zum Verhängnis werden: Versucht der Mediaplayer einen Stream von einem präparierten Server zu öffnen, droht die Infektion mit Schadcode.

Der Medienabspieler VLC ist bis zur aktuellen Version 2.1.4 anfällig für eine kritische Lücke in der Krypto-Bibliothek GnuTLS. Dies geht aus dem Changelog zur Folgeversion hervor, welche allerdings noch nicht als Binary zum Download bereitsteht. Die Lücke klafft in der ServerHello-Funktion von GnuTLS. Ein Server kann beim Client einen Pufferüberlauf auslösen, der sich sogar zum Einschleusen von Schadcode eignen soll. Passende Exploits kursieren bereits im Netz.

Um VLC zu attackieren, muss der Angreifer den Player dazu bringen, eine verschlüsselte Verbindung mit einem speziell präparierten Server aufzubauen; etwa über einen Link oder eine VLC-Playlist. Wann die abgesicherte Version 2.1.5 in installierbarer Form erscheint, ist derzeit noch unklar. Es dürfte sich aber nur noch um Tage handeln. Mit dieser Version beheben die Entwickler außerdem eine Denial-of-Service-Lücke in libpng sowie diverse Bugs.

Quelle : www.heise.de

[SiLæncer]

Angreifer können aufgrund von Sicherheitslücken im VLC-Player die Speicherverwaltung überlisten und beliebigen Code ausführen. Obwohl die Lücken bereits seit Ende vergangenen Jahres bekannt sind, lässt die finale abgesicherte Version noch auf sich warten.

Die aktuelle Ausführung des Medienplayers VLC (2.1.5) weist zwei Schwachstellen auf, über die Angreifer einen Speicherfehler verursachen und beliebigen Code ausführen könnten. Auf die Lücken wies der Sicherheitsexperte Veysel Hatas die VLC-Entwickler bereits Ende vergangenen Jahres hin. Der Experte stuft die Sicherheitslücken als kritisch ein.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Forscher haben Lücken in Kodi, VLC, Popcorn Time und Stremio entdeckt, über die sie mit Hilfe von Untertitel-Daten Schadcode ausführen können. Auf diesem Wege gelang es ihnen, den Rechner des Opfers zu kapern.

Viele beliebte Mediaplayer sind über Schwachstellen bei der Verarbeitung von Untertitel-Dateien angreifbar. Auf diesem Wege lässt sich mit den Playern von VLC, Kodi, Popcorn Time und Stremio beliebiger Schadcode auf dem System des Opfers ausführen. Da die Untertitel-Dateien oft von zentralen Diensten im Netz heruntergeladen werden, könnte ein Angreifer mit manipulierten Subtitle-Daten für populäre Filme eine große Anzahl von Anwendern angreifen.

Die Forscher der Sicherheitsfirma Checkpoint, welche die Lücken entdeckt haben, schätzen diese als äußerst kritisch ein und haben deswegen keine technischen Details bekannt gegeben. Sie wollen den Entwicklern der verschiedenen Mediaplayer erst einmal genügend Zeit geben, die Lücken zu stopfen und die Updates zu verteilen. Checkpoint schätzt, dass bis zu 200 Millionen Nutzer betroffen sein könnten. Allerdings fällt die Sicherheitsfirma immer wieder durch sensationshaschende Einschätzungen der eigenen Lücken auf. Die genaue Anzahl der verwundbaren Systeme ist nur schwer abschätzbar.

Kodi, VLC und Stremio haben ihre Software bereits mit Updates versorgt, welche die Remote-Code-Execution-Lücken schließen. Die aktuelle Popcorn-Time-Version ist nach wie vor verwundbar, allerdings gibt es eine Entwicklungs-Version, die einen entsprechenden Patch enthält. Einem besonderen Risiko sind vor allem Player ausgesetzt, die Untertitel automatisch herunterladen. Den Forschern ist es nach eigenen Angaben gelungen, die Ranking-Systeme verschiedener Subtitle-Anbieter so zu manipulieren, dass ihre bösartigen Dateien automatisch heruntergeladen wurden. Ob neben Windows auch die andere Betriebssysteme über die Mediaplayer-Lücken gekapert werden können, geht aus den Veröffentlichungen von Checkpoint bisher nicht hervor.

Quelle : www.heise.de