Kritische Sicherheitslücke in VLC Media Player
[ad_1]
Die jetzt freigegebene Version 3.0.18 des VLC Media Player schließt mehrere Sicherheitslücken. Eine davon gilt denn ungelegen und ermöglicht Angreifern aus dem Netzwerk, mit manipulierten Dateien oder Streams potenziellen Opfern Schadcode unterzuschieben.
Kritisches Risiko
VLC (Download) enthält ein vnc-Modul, dasjenige aufgrund eines möglichen Pufferüberlaufs Schadcode aus dem Netzwerk explizieren könnte. Dazu müsse eine bösartige vnc-URL abgespielt werden (CVE-2022-41325). Solch eine URL kann zweite Geige in einer lokalen File enthalten sein, etwa einer m3u-Playlist. Welcher CVE-Element zur Sicherheitslücke ist zum Meldungszeitpunkt noch privat. Dasjenige CERT Bundeswehr schätzt den CVSS-Zahl jedoch gen 9.6 ein, welches dem Risiko “ungelegen” entspricht.
Die Sicherheitsmeldung von VideoLAN listet noch drei weitere Fehler gen, die VLC 3.0.18 korrigiert. Aufgrund einer möglichen Division-durch-Null wohnhaft bei dieser Weiterverarbeitung könnte eine manipulierte MP4-File verdongeln Denial of Tafelgeschirr (DoS) hervorrufen. Zusammen mit mehreren Dateien konnte ein doppelt gemoppelt aufgerufenes free schon freigegebene Ressourcen wie gehabt versuchen, freizugeben, und so Abstürze dieser Software verursachen. Aufgrund einer Null-Zeigergerät-Dereferenzierung könnte wohnhaft bei dieser Weiterverarbeitung von präparierten .oog-Dateien ein Denial-of-Tafelgeschirr sich zeigen.
Die VLC-Entwickler herausstellen, dass ihnen bislang keine Exploits von Rang und Namen seien, die die Schwachstellen vergewaltigen. Denn automatisches Update scheint die neue Steckdose zum jetzigen Zeitpunkt noch nicht angeboten zu werden. Sie lässt sich andererseits gen dieser Download-Seite des Projekts etwa denn Windows-Installer herunterladen. Linux-Nutzer zu tun sein die Distributions-eigene Softwareverwaltung starten und dort dasjenige Update gen Version 3.0.18 suchen.
(dmk)