Vorsicht vor FLV-Videos

VLC Player mit kritischen Sicherheitslücken

Der VLC Player hat seit über zwei Monaten Sicherheitslücken, durch die Angreifer via Flash- oder MPEG-Videos Schadcode ausführen können.

© Visions-AD - Fotolia.com

VLC Player mit Sicherheitslücken: Nutzer sollten vorsichtig mit FLV-Dateien umgehen.

Das Thema Sicherheit sollten Sie derzeit besonders ernst nehmen. Neben dem Flash-Player sorgt nun mit dem VLC Player ein weiteres Programm für Ärger, das bei Nutzern besonders beliebt ist, beziehungsweise häufig eingesetzt wird. Die aktuelle Version 2.1.5 hat zwei Sicherheitslücken, die Angreifer ausnutzen können, um einen Speicherfehler zu produzieren. Anschließend lässt sich beliebiger Code ausführen. Als Einfallstor dienen präparierte Flash- oder MPEG-Videos (im Web vor allem im FLV-Format zu finden).

Der Sicherheitsexperte Veysel Hatas hat die Entwickler des VLC Players (ehemals Video LAN Client) auf die Schwachstellen aufmerksam gemacht. Die Sicherheitslücken tragen die Bezeichnungen CVE-2014-9597 und CVE-2014-9598. Hatas hat die Sicherheitslücken Ende November 2014 entdeckt. Nach diversen Tests wurden die Schwachstellen im Dezember gemeldet.

Laut dem Sicherheitsexperten handelt es sich um kritische Lücken. Flash-Dateien etwa lassen sich auf diversen Websites mit Hilfe von Youtube-Videos oder Links ähnlicher Videoportale generieren. Nutzt man dabei ein unseriöses Angebot, werden die Schwachstellen nach einem Download und dem Abspielen der entsprechenden Datei schnell ausgenutzt.

Lesetipp: Antivirus-Test 2015 - die besten Programme

Veysel Hatas hat bei seinen Tests Windows XP mit Service Pack 3 in der x86-Version genutzt. Die Schwachstellen im VLC Player ließen sich jedoch auch mit entsprechenden Dateien unter einem Windows-7-System mit 64 Bit ausnutzen, wie Hatas gegenüber heise.de mitteilte. Die VLC-Entwickler sehen den Handlungsbedarf indes nicht bei sich selbst. Der Fehler liege in der Codec-Bibliothek Libavcodec von FFMpeg. Wie die Kollegen schreiben, weiß die Sicherheitsabteilung von FFMpeg davon jedoch nichts.

Immerhin verspricht VLC mit dem nächsten Update einen Patch, via aktualisierter Codec-Bibliothek. Die Version 2.2.0 des VLC Players ist bisher jedoch nur als Betaversion verfügbar. Die finale Version lässt solange auf sich warten. Wenn Sie die Betaversion nicht installieren wollen, sollten Sie in der Zwischenzeit bei Videos mit der Endung "FLV" oder anderen Ihnen suspekt vorkommenden Videodateien aus fremden Quellen lieber vorsichtig sein.

Update: VLC Player 2.2.0 steht jetzt als Download auch in finaler Version bereit.

Mehr zum Thema

Update für Bildbetrachter

Xnview ist in der neuen Version 2.04 erhältlich. Darin hat der Entwickler drei Sicherheitslücken geschlossen. Für eine der Lücken ist Exploit-Code…
Online-Videorekorder

Der Festplatten-Rekorder ist tot, es lebe die Cloud. Online-Videorekorder übernehmen für Sie die Aufnahme und Speicherung Ihrer Lieblingssendungen.
Media-Player-App

Der VLC Media Player bringt bald Support für Google Chromecast. Schon beim nächsten Update sei es möglich, Inhalte jeglicher Art zu streamen.
iOS & Mac OS X angreifbar

Apple kündigt an, die Xara-Sicherheitslücken in iOS zu schließen. Mit diesen konnten Cyberkriminelle Daten aus iOS und Mac OS X stehlen.
Nutzerdaten in Gefahr

VPN-Tools haben Sicherheitslücken. Nutzerdaten können offengelegt werden. Schuld sind neben den Entwicklern die Provider und Betriebssystemhersteller.