Ungepatcht: Kritische Schwachstelle in VLC Media Player 0.x

Die Schwachstelle lässt, erfolgreich ausgenutzt, unter Umständen Systemzugriffe und DoS-Attacken zu. Schuld ist die Funktion Open() aus dem Modul modules/demux/tta.c. Mit speziell modifizierten TTA-Daten lässt sich ein Buffer Overflow erzwingen. Ein erfolgreicher Angriff könnte das Ausführen beliebigen Codes zulassen.

Die Sicherheitslücke ist bestätigt für VLC 0.8.6i. Es betrifft sowohl die Windows-, als auch die Linux- und Mac-Varianten. Anwender sollten nur vertrauenswürdige Dateien mit dem VLC-Player öffnen. TecChannel kann aufgrund des so genannten Hacker-Paragraphen 202c StGB keinen Link auf die Anweisung im Original setzen. Darin befindet sich ein PoC-Angriff (Proof of Concept).(jdo)