De ontwikkelaars van de populaire VLC mediaspeler waarschuwen voor een beveiligingslek waardoor aanvallers kwetsbare computers kunnen overnemen en waarvoor nog geen algemeen verkrijgbare update beschikbaar is. Het probleem is aanwezig in VLC 2.0.5, wat de meest recente versie is. Ook oudere versies van de software zouden kwetsbaar zijn.
Door het openen van een speciaal geprepareerd ASF-bestand ontstaat een buffer overflow waarna een aanvaller willekeurige code kan uitvoeren. De aanvaller zou het slachtoffer zover moeten krijgen dat hij de ASF-video opent.
Update
Als oplossing krijgen gebruikers het advies om geen bestanden van onbetrouwbare bronnen te openen of de VLC browserplug-in uit te schakelen tot dat een patch beschikbaar is. Een andere mogelijkheid is het handmatig verwijderen van de ASF demuxer (libasf_plugin.*) uit de VLC plugin installatie directory. Hierdoor is het niet meer mogelijk om AFS-bestanden af te spelen.
Inmiddels is het probleem in de VLC media player 2.0.x source code repository opgelost. Wanneer de update voor het grote publiek beschikbaar komt is nog niet bekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.