Update für den VLC Media Player veröffentlicht, das einen plötzlichen Player-Absturz und die Ausführung von Remote-Code behebt.
Das VLC Media Player 3.0.12-Update wurde vor nicht allzu langer Zeit veröffentlicht. Das Wichtige an dem Update ist, dass es die Benutzererfahrung für Mac-Besitzer verbessert. Aber darüber wurde bereits gesprochen . In Bezug auf die Informationssicherheit gibt es jedoch bereits einen weiteren wichtigen Punkt. Das Update behebt kritische Sicherheitsprobleme.
Was ist das Problem mit dem Spieler
Die Sicherheitslücken wurden von Zhen Zhou von der NSFOCUS-Gruppe entdeckt. Sie erlaubten einem Angreifer, die Remotecodeausführung auf anderen Computern zu starten.
Es geht um einen Pufferüberlauf . Die Ursache des Problems ist ein Pufferüberlauf, der auf das Schreiben von Daten außerhalb des zugewiesenen Speicherbereichs zurückzuführen ist. Dieses Problem wird durch eine fehlerhafte Behandlung der Eingabedaten und des Speichers verursacht. Infolgedessen können die Daten vor oder nach dem Puffer beschädigt werden.
Hauptprobleme
Zuvor entdeckten Experten mehrere Sicherheitsprobleme gleichzeitig.
Zuerst. Ein Angreifer kann im Namen des Programms und mit den Rechten des Kontos, unter dem es gestartet wird, beliebigen Code herunterladen und ausführen.
Zweite. Der Media Player stürzt ab, was zu einem Denial-of-Service führt.
Beide Fehler wurden gemäß dem Security Bulletin des Spielers behoben.
Dritte.Auch im Bulletin wird eine falsche Dereferenzierung von Zeigern erwähnt - eine ungültige Zeigerdereferenz. Bei einem solchen Fehler sendet das Programm eine Anforderung über einen fehlerhaften Pfad an einen bestimmten Speicherort. Eine falsche Anfrage führt zu einem Fehler. In den meisten Fällen stürzt das Programm ab.
Um Schwachstellen auszunutzen, muss ein Angreifer eine spezielle Datei ausführen oder eine Verbindung zu einem speziell gebildeten Stream herstellen. Danach entwickelten sich zwei Szenarien: Der VLC-Player schaltet sich plötzlich aus oder die Betrüger führen aus der Ferne beliebigen Code aus.
Die Entwickler geben an, keine Versuche gefunden zu haben, die gefundenen Sicherheitslücken auszunutzen. Sie empfehlen jedoch die Installation von VLC Media Player Version 3.0.12 - für Windows, MacOS oder Linux .
Übrigens treten im VLC-Player häufig Probleme auf. Meistens ist es jedoch möglich, sie zu beseitigen, bevor Cyberkriminelle sie einsetzen.
Ein bisschen über VLC
VLC ist kostenlos und einer der beliebtesten Open Source-Videoplayer. Der Media Player unterstützt eine Vielzahl von Formaten. VLC spielt viele Multimediadateien und Streams über eine Vielzahl von Protokollen ab.
Der Player wird vom VideoLan-Projektteam entwickelt. Dies sind hauptsächlich Freiwillige, die „ an die Kraft von Open Source glauben “.
Das VideoLAN-Projekt startete 1996 als Studenteninitiative in Frankreich. Jetzt nehmen Entwickler aus 40 Ländern an dem Projekt teil.
