QuickTime und VLC Media Player: Sicherheitslücken (U)

In Apples QuickTime sowie auch im beliebten VLC Media Player befinden sich in den aktuellen Versionen Sicherheitslücken. Diese Lücken ermöglichen es einem potentiellen Angreifer, jeden beliebigen Programmcode auf dem Rechner auszuführen.

Bei QuickTime betrifft dies den URL-Typ „rtsp“, über den die QuickTime-Videos direkt geöffnet werden. Opfer werden durch einen manipulierten Link zu einer entsprechenden QuickTime-Datei gelockt, welche dann einen Pufferüberlauf nach sich zieht. Der Fehler wurde von Apple für QuickTime 7.1.3.100 auf den Plattformen Windows und MacOS X bestätigt und von Experten als hoch kritisch eingeschätzt. Bislang hat Apple kein Update für QuickTime bereitgestellt. Als Lösung bietet sich deshalb derzeit nur an, die Verarbeitung von rtsp mit QuickTime zu deaktivieren oder das Programm ganz zu deinstallieren.

Auch der VLC Media Player in der Version 0.8.6 weist in der Mac- und Windows-Version eine Sicherheitslücke auf. Bei der Verarbeitung einer Internetadresse mit dem Beginn udp:// macht sich die Sicherheitslücke bemerkbar. Durch einen manipulierten Eintrag kann ein potentieller Angreifer beliebige Programmcodes ausführen. Sofern der VLC Media Player als Standard-Applikation für die Medien-Wiedergabe eingetragen ist, genügt bereits das Öffnen eines entsprechenden udp-Links, um Opfer eines solchen Angriffs zu werden. Leider gibt es derzeit auch hierfür noch keinen Patch. Es wird aber empfohlen, die Zuweisung von udp-Aufrufen komplett zu deaktivieren oder den VLC Media Player ganz zu deinstallieren.

Update 04.01.2007, 0:00 Uhr:
Der VLC Media Player hat ein Bugfix erfahren und steht nun in Version 0.8.6a zum Download bereit.