MPlayer und VLC - Ein Sicherheitsforscher hat in zwei der beliebtesten Media-Player die Entdeckung einer kritischen Sicherheitslücke angekündigt. Das Problem wurde in dem LIVE555 Media-Streaming-Bibliothek zu finden, die in den CVE-2018-4013 Beratungs in beiden Anwendungen und verfolgten verwendet wird.
CVE-2018-4013: VLC und MPlayer Sicherheitslücke durch LIVE555 Media Streaming-Bibliothek
Die beiden beliebten Media-Player VLC und MPlayer gefunden wurden durch die gleiche Sicherheitsanfälligkeit betroffen sein. Das war berichtet von einem Sicherheitsforscher, die, dass die Wurzel der Ursache fanden die Media-Streaming-Bibliothek, die sie LIVE555 ist sowohl die Verwendung. Es wird von den Live-Networks Unternehmen aufrechterhalten und dient der Kompatibilität mit RTP und SIP-Protokollen zur Verfügung zu stellen und Verarbeitung von verschiedenen Audio- und Videoformaten. Ohne sie VLC und MPlayer nicht in der Lage sein, Streaming-Medien zu spielen, die eine ihrer wichtigsten Merkmale sind.
Der CVE-2018-4013 Beratungs hat die Verwundbarkeit zugewiesen wurde,, es gibt an, dass ungepatchte Versionen der Software weltweit Millionen von Nutzern ermöglichen mögliche Opfer von Hacker-Attacken zu werden,. Der Grund dafür ist die Art und Weise HTTP-Anforderungen gestellt werden. Hacker kann ein spezielles Paket Handwerk einen Stack-basierten Pufferüberlauf zu verursachen, die für die Ausführung von Code verwendet werden können,. Die vollständige Beschreibung des CVE-2018-4013 Beratungs liest die folgende:
Eine verwertbare Code Sicherheitsanfälligkeit in der HTTP-Paket-Parsing-Funktionalität der LIVE555 RTSP-Server-Bibliothek Version 0.92. Ein speziell gestaltetes Paket kann einen Stack-basierten Pufferüberlauf verursachen,, wodurch die Codeausführung. Ein Angreifer kann ein Paket senden, diese Schwachstelle triggern.
Diese beiden Programme gehören zu den am häufigsten installierten Software von Drittanbietern von Endbenutzern und dies ist der Grund, warum solche Probleme wie große Auswirkungen automatisch klassifiziert werden. Doch der Sicherheitsbericht anzeigt, dass das Problem nicht in der Code-Basis der Anwendungen liegt, sondern vielmehr Komponenten, die für die Verbesserung des Spielers Funktion von externen Quellen und verwendet werden entwickelt. In diesem speziellen Fall ist die Media-Streaming-Komponente von wesentlicher Bedeutung für eine der Kernfunktionen bereitstellt.
Beide Spieler haben Sicherheitsupdates veröffentlicht und Nutzer sollten sie so schnell wie möglich anzuwenden.