Kritische Krypto-Lücke in VLC Player

Dieses Thema im Forum "Tech News" wurde erstellt von Carla Columna, 30. Juni 2014 .

  1. 30. Juni 2014
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    Eine Schwachstelle in GnuTLS kann offenbar auch VLC-Nutzern zum gefährlich werden. Versucht der Mediaplayer einen Stream von einem präparierten Server zu öffnen, besteht die Gefahr einer Infektion mit Schadcode.

    vlc128x128.png
    Bis zur aktuellen Version 2.1.4 ist der VLC-Player anfällig für die kritische Lücke. Die Lücke befindet sich in der ServerHello-Funktion von GnuTLS. Ein Server kann beim Client einen Pufferüberlauf auslösen, der sich sogar zum Einschleusen von Schadcode eignen soll. Brisant ist es da bereits Exploits im Netz verfügbar sind.

    Wann die abgesicherte Version 2.1.5 erscheint, ist derzeit noch unklar. Mit dieser Version beheben die Entwickler auch eine Denial-of-Service-Lücke in libpng sowie weitere diverse Fehler.

    Code:
    Changes between 2.1.4 and 2.1.5:
    --------------------------------
    Core:
     * Fix compilation on OS/2
    
    Access:
     * Stability improvements for the QTSound capture module
    
    Mac OS X audio output:
     * Fix channel ordering
     * Increase the buffersize
    
    Decoders:
     * Fix DxVA2 decoding of samples needing more surfaces
     * Improve MAD resistance to broken mp3 streams
     * Fix PGS alignment in MKV
    
    Qt Interface:
     * Don't rename mp3 converted files to .raw
    
    Mac OS X Interface:
     * Correctly support video-on-top
     * Fix video output event propagation on Macs with retina displays
     * Stability improvements when using future VLC releases side by side
    
    Streaming:
     * Fix transcode when audio format changes
    
    Security contents:
     * Updated GnuTLS to 3.1.25 (CVE-2014-3466)
     * Updated libpng to 1.6.10 (CVE-2014-0333)
    
    Translations:
     * Update British English
    Videolan-Changelog: http://www.videolan.org/developers/vlc-branch/NEWS
     
  2. 22. Juli 2014
    AW: Artikel: Kritische Krypto-Lücke in VLC Player

    Ja Hallo, danke für die wichtige Info.

    Sag mal gilt das auch wenn man "nur" mit dem VLC-Player Filme anschaut ?
    Oder wäre es in dem Falle besser den Player mit der Firewall zu blocken ?

    Mfg
     
  3. 22. Juli 2014
    Nein, wenn du nur "offline" Inhalte über den Player abspielst ist diese genannte Lücke nicht relevant, also das ist derzeit sicher. (zumindest ist momentan keine andere Lücke bekannt)

    Die Webplayer Funktion (Addon im Browser) wäre da wohl die kritischste Stelle.

    Deshalb alle Addons/Plugins deaktivieren wenn man sie nicht wirklich benötigt.
     
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.