UPDATE: DFN-CERT-2016-0908 VideoLAN VLC Media Player: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][Windows]

UPDATE: DFN-CERT-2016-0908 VideoLAN VLC Media Player: Eine Schwachstelle ermöglicht u.a. die Ausführung beliebigen Programmcodes mit Benutzerrechten [Linux][Debian][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.06.2016):
Für die stabile Debian Distribution Jessie steht ein Sicherheitsupdate für
den VLC Media Player auf die aktuelle Version 2.2.4 bereit.
Version 1 (06.06.2016):
Neues Advisory

Betroffene Software:

VideoLAN VLC Media Player < 2.2.4 Betroffene Plattformen: Debian Linux 8.4 Jessie GNU/Linux Microsoft Windows Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten QuickTime IMA-Datei einen Denial-of-Service-Angriff durchführen oder beliebigen Programmcode mit Benutzerrechten ausführen. Zur Behebung der Schwachstelle steht der VideoLAN VLC Media Player 2.2.4 als Sicherheitsupdate zur Verfügung. Patch: VideoLAN Security Advisory VideoLAN-SA-1601 https://www.videolan.org/security/sa1601.html

Patch:

Debian Security Advisory DSA-3598-1

https://www.debian.org/security/2016/dsa-3598

CVE-2016-5108: Schwachstelle in VLC erlaubt u.a. Ausführung beliebigen
Programmcodes mit Benutzerrechten

Es existiert eine Schwachstelle in der Datei ‘modules/codec/adpcm.c’ des
VideoLAN VLC Media Player. Ein Angreifer kann diese Schwachstelle ausnutzen,
indem er einen Benutzer dazu verleiten eine speziell präparierte QuickTIme
IMA Datei zu öffnen, welche einen Speicherüberlauf in der Funktion
‘DecodeAdpcmImaQT’ auslöst. Dies kann einen Absturz der Applikation zur
Folge haben. Die Ausführung beliebigen Programmcodes mit Benutzerrechten ist
dadurch ebenso möglich.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0908/

VideoLAN Security Advisory VideoLAN-SA-1601:
https://www.videolan.org/security/sa1601.html

Schwachstelle CVE-2016-5108 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-5108

Debian Security Advisory DSA-3598-1:
https://www.debian.org/security/2016/dsa-3598

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben