Vorsicht: Sicherheitslücke im VLC Player erlaubt Schadcode!

Eine Sicherheitslücke im kostenlosen Multimedia-Player „VLC“, der auch gern als kostenloses DVD-Player-Programm unter Windows genutzt wird, erlaubt die Ausführung von gefährlichem Programmcode: Dies kann zu einem Absturz des Rechners führen, im schlimmsten Fall sollen Angreifer auch Viren installieren können.

Die Sicherheitslücke betrifft die Versionen 3.0.0 und 3.0.1: In der aktuellen Version 3.0.2 ist der Fehler behoben worden – Nutzer des VLC Players sollten daher die aktuelle VLC Version herunterladen und installieren oder in der Zwischenzeit keine SWF-Dateien oder -Streams öffnen.

Betroffen ist nämlich der Programmteil, der für die Verarbeitung von Flashdateien (Dateiendung .swf) zuständig ist: Spielt man eine speziell manipulierte Flash-Datei mit einer der von dem Problem betroffenen VLC Player Versionen ab, kann die Datei die Sicherheitslücke ausnutzen und im schlimmsten Fall einen Virus oder Trojaner unbemerkt auf dem Rechner installieren.

Das VLC Team schreibt zu der Sicherheitslücke auf ihrer Webseite: „A remote user can create a specially crafted swf file that, when loaded by the target user, will trigger a heap use after free in Demux() (demux/avformat/demux.c). If successful, a malicious third party could trigger either a crash of VLC or an arbitratry code execution with the privileges of the target user“. Ob nur die Windows-Version oder aber alle Versionen des VLC-Players (also auch für Android, iOS, Ubuntu oder Mac OS) von dem Fehler betroffen sind, geht aus der Webseite nicht hervor, daher sollten alle Nutzer des Players auf der Download-Seite oder in den mobilen App-Stores nach einem verfügbaren Update suchen.

Nicht nur VLC, auch der Adobe Flash-Player macht immer wieder durch gefährliche Sicherheitslücken auf sich aufmerksam. Zahlreiche Experten wie der Facebook-Sicherheitschef fordern daher seit langem, dass Flash-Inhalte nicht länger unterstützen werden sollen – mittlerweile wird das Flash Format zumindest von den aktuellen Browsern immer weniger genutzt: Die Nutzer müssen die Ausführung von Flash-Inhalten in der Regel erst manuell aktivieren und bekommen einen Warnhinweis angezeigt.