VLC-Player bis Version 0.8.6e mit Sicherheitslücke


    Entnommen von
    http://www.buerger-cert.de

    Boersenfeger stellte Folgendes dar:

    Zitat

    Sicherheitsluecke im VLC Mediaplayer
    Wieder ein Leck:
    Ueber eine Schwachstelle im VLC Mediaplayer ist es Online-Kriminellen moeglich, mithilfe von manipulierten Untertitel-Dateien schaedliche Software auf fremden Computern auszufuehren. Betroffen sind die Versionen 0.8.6c bis einschliesslich der erst kuerzlich veroeffentlichten Version 0.8.6e. Ein Update, das den Fehler beseitigt, wurde bisher noch nicht veroeffentlicht. Nutzern wird geraten, keine Multimedia-Dateien aus nicht vertrauenswuerdigen Quellen zu oeffnen, da Untertitel-Dateien automatisch geladen werden. Sobald ein Patch bereit steht, sollte dieser umgehend installiert werden.


    Ursache und Wirkung?

    Dein Problem liegt - wie Du es scheinbar selber schon herausgefunden hattest - nicht im Browser selber, sondern eher in dem zum Einsatz kommenden Player - dem Betriebssystem - oder gar einem dedizierten (bestimmten) Treiber (über eine Schnittstelle) - bzw. fehlerhaft eingesetzter Hardware - oder einer "unwillkommenden Schnittmenge" aus diesen Möglichkeiten.

    "VLC" (wie auch "MPC") Player nutzen - nach meinem bisherigen Wissensstand - bloss die propietäre (firmeneigene) MS-DirectShow - und setzten somit direkt auf das anfällige Windows-Media-Framework auf, wobei dann im Anschluss die installierten Decoder von MS zur Anwendung kommen müssen.

    Der "MPlayer" (GNU / GPL), als Vorschlag dagegen, macht bloss indirekt von den MS-Decoder-Dateien Gebrauch. Wäre vielleicht einmal zur Betrachtung eines direktes Vergleiches interessant.

    Die Frage verbleibt dennoch, ob die von MS angebotene "Open-Source-Site Port 25 Schnittstelle" (WMP-Plug-In, innerhalb des FF´s) wirklich vom "Herzen" kommt.


    Oliver


    http://de.wikipedia.org/wiki/MPlayer

    Einmal editiert, zuletzt von Oliver222 (22. März 2008 um 01:26)

    VLC ist auch GPL und läuft auch unter Linux. Ich wage zu bezweifeln, dass der auf DirectShow aufsetzt.

    Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.0.1) Gecko/2008070206 Firefox/3.0.1 (Gentoo Linux)

    A.B. bezweifelte:

    Zitat

    VLC ist auch GPL und läuft auch unter Linux. Ich wage zu bezweifeln, dass der auf DirectShow aufsetzt.

    Zitat

    DirectShow's standard format repertoire can be easily expanded by means of a variety of commercial and open source filters. Such filters enable DirectShow to support virtually any container format and any audio or video codec. For example, filters have been developed for Ogg Vorbis[9], Musepack[10] and AC3[citation needed]. Finally, there are "bridge" filters that simultaneously support multiple formats, as well as functions like stream multiplexing, by exposing the functionality of underlying multimedia APIs such as VLC.


    Wer fügt sich hierbei wem?


    Oliver


    http://en.wikipedia.org/wiki/DirectShow

    @ Oliver!
    Ich habe kein Problem mit VLC!
    Wollte nur die User hier auf das festgestellte Sicherheitsleck im Player aufmerksam machen.
    Ich nehme die Kritik an, das der richtige Ort wohl eher SMALLTALK gewesen wäre!
    Vielleicht kann ja mal ein Moderator den Thread verschieben!?
    Ansonsten
    Frohe Ostern
    [Blockierte Grafik: http://www.GratisSmilies.de/smilies/ostern/ostern_25.gif]

    Zitat von Boersenfeger

    Ich nehme die Kritik an, das der richtige Ort wohl eher SMALLTALK gewesen wäre!
    Vielleicht kann ja mal ein Moderator den Thread verschieben!?


    Na ja, neuerdings kommen hier ja auch Fx-Unabhängige Sicherheitshinweise in diesen Bereich, siehe den Spywareblaster-Thread.