Vorsicht vor FLV-Videos

VLC Player mit kritischen Sicherheitslücken

Der VLC Player hat seit über zwei Monaten Sicherheitslücken, durch die Angreifer via Flash- oder MPEG-Videos Schadcode ausführen können.

Filme archivieren: Symbolbild

© Visions-AD - Fotolia.com

VLC Player mit Sicherheitslücken: Nutzer sollten vorsichtig mit FLV-Dateien umgehen.

Das Thema Sicherheit sollten Sie derzeit besonders ernst nehmen. Neben dem Flash-Player sorgt nun mit dem VLC Player ein weiteres Programm für Ärger, das bei Nutzern besonders beliebt ist, beziehungsweise häufig eingesetzt wird. Die aktuelle Version 2.1.5 hat zwei Sicherheitslücken, die Angreifer ausnutzen können, um einen Speicherfehler zu produzieren. Anschließend lässt sich beliebiger Code ausführen. Als Einfallstor dienen präparierte Flash- oder MPEG-Videos (im Web vor allem im FLV-Format zu finden).

Der Sicherheitsexperte Veysel Hatas hat die Entwickler des VLC Players (ehemals Video LAN Client) auf die Schwachstellen aufmerksam gemacht. Die Sicherheitslücken tragen die Bezeichnungen CVE-2014-9597 und CVE-2014-9598. Hatas hat die Sicherheitslücken Ende November 2014 entdeckt. Nach diversen Tests wurden die Schwachstellen im Dezember gemeldet.

Laut dem Sicherheitsexperten handelt es sich um kritische Lücken. Flash-Dateien etwa lassen sich auf diversen Websites mit Hilfe von Youtube-Videos oder Links ähnlicher Videoportale generieren. Nutzt man dabei ein unseriöses Angebot, werden die Schwachstellen nach einem Download und dem Abspielen der entsprechenden Datei schnell ausgenutzt.

Lesetipp: Antivirus-Test 2015 - die besten Programme

Veysel Hatas hat bei seinen Tests Windows XP mit Service Pack 3 in der x86-Version genutzt. Die Schwachstellen im VLC Player ließen sich jedoch auch mit entsprechenden Dateien unter einem Windows-7-System mit 64 Bit ausnutzen, wie Hatas gegenüber heise.de mitteilte. Die VLC-Entwickler sehen den Handlungsbedarf indes nicht bei sich selbst. Der Fehler liege in der Codec-Bibliothek Libavcodec von FFMpeg. Wie die Kollegen schreiben, weiß die Sicherheitsabteilung von FFMpeg davon jedoch nichts.

Immerhin verspricht VLC mit dem nächsten Update einen Patch, via aktualisierter Codec-Bibliothek. Die Version 2.2.0 des VLC Players ist bisher jedoch nur als Betaversion verfügbar. Die finale Version lässt solange auf sich warten. Wenn Sie die Betaversion nicht installieren wollen, sollten Sie in der Zwischenzeit bei Videos mit der Endung "FLV" oder anderen Ihnen suspekt vorkommenden Videodateien aus fremden Quellen lieber vorsichtig sein.

Update: VLC Player 2.2.0 steht jetzt als Download auch in finaler Version bereit.

Mehr zum Thema

Xnview bekommt ein Update auf Version 2.04.
Update für Bildbetrachter

Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code…
Der VLC-Player kann Inhalte bald mit Google Chromecast streamen.
Media-Player-App

Der VLC Media Player bringt bald Support für Google Chromecast. Schon beim nächsten Update sei es möglich, Inhalte jeglicher Art zu streamen.
VLC Player: Logo auf orangenem Grund
VLC-Update als Download

Der VLC Media Player 2.2.0 steht als Download bereit. Das Update bietet viele neue Funktionen wie das Rotieren von Handy-Videos und einen verbesserten…
Screenshot von Magix Video Pro X7
Videoschnitt für Profis

Wir haben Magix Video Pro X7 im Test. Die Videobearbeitungs-Software spielt in der Oberliga mit und unterstützt professionelle Formate.
Filme auf PC
Anleitung

Ob Stream, Video-DVD oder Blu-ray - mit den passenden Tools lassen sich Filme im Handumdrehen kopieren. Wir zeigen, wie.