#1 30. Juni 2014 Zuletzt von einem Moderator bearbeitet: 15. April 2017 Eine Schwachstelle in GnuTLS kann offenbar auch VLC-Nutzern zum gefährlich werden. Versucht der Mediaplayer einen Stream von einem präparierten Server zu öffnen, besteht die Gefahr einer Infektion mit Schadcode. Bis zur aktuellen Version 2.1.4 ist der VLC-Player anfällig für die kritische Lücke. Die Lücke befindet sich in der ServerHello-Funktion von GnuTLS. Ein Server kann beim Client einen Pufferüberlauf auslösen, der sich sogar zum Einschleusen von Schadcode eignen soll. Brisant ist es da bereits Exploits im Netz verfügbar sind. Wann die abgesicherte Version 2.1.5 erscheint, ist derzeit noch unklar. Mit dieser Version beheben die Entwickler auch eine Denial-of-Service-Lücke in libpng sowie weitere diverse Fehler. Code: Changes between 2.1.4 and 2.1.5: -------------------------------- Core: * Fix compilation on OS/2 Access: * Stability improvements for the QTSound capture module Mac OS X audio output: * Fix channel ordering * Increase the buffersize Decoders: * Fix DxVA2 decoding of samples needing more surfaces * Improve MAD resistance to broken mp3 streams * Fix PGS alignment in MKV Qt Interface: * Don't rename mp3 converted files to .raw Mac OS X Interface: * Correctly support video-on-top * Fix video output event propagation on Macs with retina displays * Stability improvements when using future VLC releases side by side Streaming: * Fix transcode when audio format changes Security contents: * Updated GnuTLS to 3.1.25 (CVE-2014-3466) * Updated libpng to 1.6.10 (CVE-2014-0333) Translations: * Update British English Videolan-Changelog: http://www.videolan.org/developers/vlc-branch/NEWS + Multi-Zitat Zitieren
#2 22. Juli 2014 AW: Artikel: Kritische Krypto-Lücke in VLC Player Ja Hallo, danke für die wichtige Info. Sag mal gilt das auch wenn man "nur" mit dem VLC-Player Filme anschaut ? Oder wäre es in dem Falle besser den Player mit der Firewall zu blocken ? Mfg + Multi-Zitat Zitieren
#3 22. Juli 2014 Nein, wenn du nur "offline" Inhalte über den Player abspielst ist diese genannte Lücke nicht relevant, also das ist derzeit sicher. (zumindest ist momentan keine andere Lücke bekannt) Die Webplayer Funktion (Addon im Browser) wäre da wohl die kritischste Stelle. Deshalb alle Addons/Plugins deaktivieren wenn man sie nicht wirklich benötigt. + Multi-Zitat Zitieren