myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   [Software] Kritische Sicherheitslücke in VLC Media Player (https://mygully.com/showthread.php?t=7077628)

Uwe Farz 30.11.22 15:03
Kritische Sicherheitslücke in VLC Media Player
 
Ein Update wird empfohlen:
Zitat:
Ein Update steht für den VLC Media Player bereit, mit dem die Entwickler unter anderem eine kritische Sicherheitslücke schließen.

Die jetzt freigegebene Version 3.0.18 des VLC Media Player schließt mehrere Sicherheitslücken. Eine davon gilt als kritisch und ermöglicht Angreifern aus dem Netz, mit manipulierten Dateien oder Streams potenziellen Opfern Schadcode unterzuschieben.
Kritisches Risiko

VLC enthält ein vnc-Modul, das aufgrund eines möglichen Pufferüberlaufs Schadcode aus dem Netz ausführen könnte. Dazu müsse eine bösartige vnc-URL abgespielt werden (CVE-2022-41325). Solch eine URL kann auch in einer lokalen Datei enthalten sein, etwa einer m3u-Playlist. Der CVE-Eintrag zur Sicherheitslücke ist zum Meldungszeitpunkt noch nicht öffentlich. Das CERT Bund schätzt den CVSS-Wert jedoch auf 9.6 ein, was dem Risiko "kritisch" entspricht.

Die Sicherheitsmeldung von VideoLAN listet noch drei weitere Fehler auf, die VLC 3.0.18 korrigiert. Aufgrund einer möglichen Division-durch-Null bei der Verarbeitung könnte eine manipulierte MP4-Datei einen Denial of Service (DoS) auslösen. Bei mehreren Dateien konnte ein doppelt aufgerufenes free bereits freigegebene Ressourcen abermals versuchen, freizugeben, und so Abstürze der Software verursachen. Aufgrund einer Null-Pointer-Dereferenzierung könnte bei der Verarbeitung von präparierten .oog-Dateien ein Denial-of-Service auftreten.

Die VLC-Entwickler betonen, dass ihnen bislang keine Exploits bekannt seien, die die Schwachstellen missbrauchen. Als automatisches Update scheint die neue Fassung zum jetzigen Zeitpunkt noch nicht angeboten zu werden. Sie lässt sich aber auf der Download-Seite des Projekts etwa als Windows-Installer herunterladen. Linux-Nutzer müssen die Distributions-eigene Softwareverwaltung starten und dort das Update auf Version 3.0.18 suchen.
Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

VLC für Windows 32bit:[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
VLC für Windows 64bit:[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

MotherFocker 30.11.22 15:10
Gut zu wissen, dass das automatische update noch nicht funktioniert.

Bis jetzt (auch nach update check) immer noch "3.0.17.4" am Start...

Jetzt isses manuell da 3.0.18 :T

Draalz 30.11.22 15:39
Mein Distributor stellte mir schon heute morgen 3.0.18 zur Verfügung. (Debian bookworm) :T


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:27 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.