Nieuws
image

Weer ernstige lekken in VLC Media Player gepatcht

donderdag 6 november 2008, 17:05 door Redactie, 6 reacties

Het ontwikkelteam achter de populaire mediaspeler VLC heeft in korte tijd weer een nieuwe versie vanwege verschillende beveiligingslekken moeten uitbrengen. Aanvallers kunnen via geprepareerde CUE bestanden en RealText ondertitels willekeurige code met rechten van de gebruiker uitvoeren. De kwetsbaarheden zijn niet alleen in de nieuwe 0.9.x branche aanwezig, ook versies vanaf 0.5.0 lopen risico. Drie weken geleden was het ook al raak, toen was het mogelijk om via een kwaadaardige playlist het systeem over te nemen. Dit jaar alleen al zijn er 10 advisories door ontwikkelaar Videolan uitgebracht. In negen van de tien keer ging het om zeer ernstige kwetsbaarheden. Updaten kan via de update functie van de applicatie of videolan.org.

Reacties (6)
06-11-2008, 19:41 door cyberpunk
Versie 0.9.5 is nog altijd niet beschikbaar voor Windows...
06-11-2008, 21:05 door Anoniem
http://www.videolan.org/security/sa0809.html
Threat mitigation
Exploitation of this issue requires the user to explicitly open a specially crafted file.
Gelukkig horen *IX-gebruikers niet tot het klikvee, dus wie zijn er weer de klos!? :)
07-11-2008, 11:47 door Sith Warrior
Bij dat VLC hebben ze maar raar patch beleid, ze brengen 0.9.5 uit, maar die zetten ze dan vervolgens niet op hun website, de nieuwe versie komt altijd pas weken later op die site van ze, dan dat ze het eigenlijk uitbrengen.
07-11-2008, 13:17 door spatieman
@anoniem.
leer lezen.
het heeft met klik vee niets te maken.
als jij een cue file krijgt voor je media zooi, en die file is aangepast ,ben je de lul.
of bekijk je soms iedere cue of playlist van te voren ?
08-11-2008, 23:43 door Anoniem
Ik heb na het lezen over de playlist kwetsbaarheid in versie 0.8.6h automatisch de nieuwere versie 0.9.4 geïnstalleerd. De huidige versie ziet er wat gelikter uit, maar heb er best spijt van gehad, want VLC draaide minder stabiel, liep vast, de scrubber werkte niet goed (naemlijk niet) en 0.9.4 kon ook geen MMS streams, bv. van Bloomberg News video, dumpen naar files.

Best veel moeite voor gedaan om terug te rollen naar de oude versie, omdat ik toch nooit playlists speel maar wel andere zaken intensief gebruik. Het is prachtige software, superieur aan bijna alle commerciële players die ik ken, maar patches en verbeteringen en dergelijke zijn niet al te best gedocumenteerd.

CUE files bevatten metainfo over CD's of DVD's en wie gebruikt er tegenwoordig nog Real?
Ik zou alleen upgraden als VLC op een systeem écht voor alle soorten files de standaardplayer is, óf als een lek een bestandsformaat betreft dat je met VLC zou afspelen. VLC 0.9.4. was nog niet klaar voor prime time.
10-11-2008, 17:31 door SirDice
Door Sith WarriorBij dat VLC hebben ze maar raar patch beleid, ze brengen 0.9.5 uit, maar die zetten ze dan vervolgens niet op hun website, de nieuwe versie komt altijd pas weken later op die site van ze, dan dat ze het eigenlijk uitbrengen.
De nieuwe versie (0.9.6) was wel degelijk te downloaden. Alleen nog geen pre-compiled windows executable met installer etc.

Overigens is deze inmiddels wel beschikbaar: http://www.videolan.org/mirror-geo.php?file=vlc/0.9.6/win32/vlc-0.9.6-win32.exe
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure