Month of Apple Bugs: Lücke im VLC Media Player

16. März 2007, 10:23
12 Postings

Die Angabe einer speziellen Zeichenkette ermöglicht das Einschleusen und Ausführen von Code mit den Rechten des angemeldeten Nutzers

Nach der Meldung einer kritischen Lücke in Apples Quicktime - der WebStandard berichtete - haben die Experten im Rahmen des Month of Apple Bugs (MOAB) nun eine kritische Lücke im VLC Media Player gemeldet.

Mac OS X betroffen

Die Schwachstelle trete zwar auch unter Windows auf, so die Initiatoren des Projekts, doch ginge es ihnen darum, dass sich die kritische Lücke auch uter Mac OS X finden lasse und das Apple-Betriebssystem und dessen Applikationen nicht per se von kritischen Sicherheitslücken ausgenommen sind.

Code kann eingeschleust werden

Die nun gemeldete Sicherheitslücke tritt aufgrund einer Format-String-Schwachstelle bei der Verarbeitung der URI udp:// auf. Es sei AngreiferInnen möglich, durch die Angabe einer speziellen Zeichenkette Code in ein System einzuschleusen und mit den Rechten des angemeldeten Nutzers auszuführen. Das potenzielle Opfer muss zuvor jedoch die präparierte URL an den VLC Media Player übergeben, je nach Konfiguration des Systems kann dazu schon ein Klick auf einen Link oder der Aufruf einer Playlist genügen, melden die Entdecker der Schwachstelle. Laut der Meldung im Rahmen des MOAB ist der VLC 0.8.6 betroffen, wahrscheinlich aber auch ältere Versionen und andere Betriebssysteme. Ein Patch sei derzeit nicht verfügbar, daher empfiehlt es sich als Workaround den udp://-URL-Handler zu deaktivieren oder VLC zu deinstallieren.(red)

Share if you care.