image

VLC via kwaadaardige MP3's te hacken

donderdag 19 augustus 2010, 15:59 door Redactie, 6 reacties

VideoLAN, de ontwikkelaar van het populaire VLC, heeft een update uitgebracht die een ernstig beveiligingslek in de mediaspeler verhelpt. Via de kwetsbaarheid zouden aanvallers een systeem kunnen laten crashen of in het ergste geval overnemen. Het probleem wordt veroorzaakt door een geheugenfout in de TagLib plugin bij het verwerken van informatie uit ID3v2 tags. Een aanvaller die het slachtoffer een kwaadaardig mediabestand laat openen, zoals een MP3, zou vervolgens willekeurige code kunnen uitvoeren.

Volgens VideoLAN zal de mediaspeler in de meeste gevallen alleen maar crashen. De softwareontwikkelaar was op 29 juli over het probleem ingelicht en had drie weken nodig om een update uit te rollen. VLC versies 0.9.0 tot en met 1.1.2 zijn kwetsbaar, gebruikers krijgen dan ook het advies naar versie 1.1.3 te upgraden.

Reacties (6)
19-08-2010, 16:45 door Eerde
...drie weken... !
Schandalig, echt volgens Jeff Jones moet, kan en gaat dat veel sneller, o.a. bij M$ :)
19-08-2010, 19:09 door Blijbol
Het is hard nodig dat dat update-proces eens wat verder wordt geautomatiseerd zodat het sneller en makkelijker te doen is.
19-08-2010, 23:07 door Anoniem
Het is wel behoorlijk onprofessioneel te noemen dat VideoLAN zelf geen melding maakt dat door hun software de computer van de gebruiker valt over te nemen. Wat ze doen is de boel bagatelliseren door te schrijven dat in de meeste gevallen er slechts een vervelende crash van de software zal gebeuren..... onverantwoorde communicatie noem ik het. Durf gewoon te zeggen dat je software brak is en wat er in het ergste geval kan gebeuren. Praat er niet om heen en verzwijg het niet.
20-08-2010, 00:41 door Anoniem
Door Blijbol: Het is hard nodig dat dat update-proces eens wat verder wordt geautomatiseerd zodat het sneller en makkelijker te doen is.
Nog makkelijker? Ik kreeg net meteen na het opstarten van de VLC player een melding met een uitleg en download...
20-08-2010, 10:32 door Anoniem
Door Eerde: ...drie weken... !
Schandalig, echt volgens Jeff Jones moet, kan en gaat dat veel sneller, o.a. bij M$ :)

Zeker geen ontwikkelaar? Laten we eens kijken; je krijgt de melding dat er een beveiligingslek in je software zit. Je zal moeten onderzoeken hoe de bug veroorzaakt wordt. Dan moet je dit gaan oplossen. Sommige mensen denken dat dit een kwestie is van een beetje code erbij kloppen. Dat kan nog wel eens tegenvallen. En als je dan een fix hebt gemaakt moet je gaan testen. Als er niet goed getest is staan mensen zoals jij ook op hun achterste benen, want "hoe kunnen ze het in hun hoofd halen om niet geteste fixes online te zetten". Vergeet daarbij ook niet dat VLC op een hele berg OS-en en architecturen beschikbaar is. Dat moet je allemaal testen. Daarna kan je beginnen met uitrollen. VLC is een hobby-project, doe ff normaal zeg.
20-08-2010, 10:59 door SirDice
Door Anoniem:
Door Eerde: ...drie weken... !
Schandalig, echt volgens Jeff Jones moet, kan en gaat dat veel sneller, o.a. bij M$ :)

Zeker geen ontwikkelaar?
Don't feed the trolls ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.