image

Lekken in library VLC media player onthuld

dinsdag 20 januari 2015, 10:58 door Redactie, 6 reacties

Een Turkse beveiligingsonderzoeker heeft twee kwetsbaarheden in een library onthuld waar de populaire VLC media player gebruik van maakt. Via de kwetsbaarheden kan een aanvaller willekeurige code op de computer uitvoeren als er een kwaadaardig bestand wordt geopend. De lekken bevinden zich in de libavcodec-library en doen zich voor bij het openen van kwaadaardige flv- of m2v-bestanden. De onderzoeker ontdekte de kwetsbaarheden op 24 november en meldde ze vervolgens aan de ontwikkelaars van VLC media player.

Op 9 januari publiceerde de onderzoeker de gegevens al op een weblog en deed dit afgelopen vrijdag ook via de Full Disclosure mailinglist. De onderzoeker stelde dat er nog altijd geen updates voor de problemen zijn verschenen. Volgens de ontwikkelaars van VLC media player gaat het hier niet om kwetsbaarheden in de populaire mediaspeler, maar ligt het probleem bij de libavcodec-library waar de mediaspeler gebruik van maakt. Daarnaast zijn de lekken in VLC media player 2.2.0-rc2 (release candidate 2) al verholpen. Daarop besloot het ontwikkelteam de twee bugmeldingen van de onderzoeker te sluiten. Wanneer de uiteindelijke versie van VLC media player 2.2.0 voor het publiek zal verschijnen is nog niet bekend.

Reacties (6)
20-01-2015, 11:25 door Anoniem
Ja lekker dan.
"Nee hoor mevrouwtje, die auto is prima in orde. De banden zijn wel lek, maar dan moet je de fabrikant maar bellen. Prettige dag nog! "
20-01-2015, 11:44 door [Account Verwijderd]
[Verwijderd]
20-01-2015, 12:09 door Mysterio
Was het idee niet achter Open Source dat 'de community' dit soort problemen snel zou ontdekken en op zou lossen?
20-01-2015, 12:23 door Anoniem
Dit klinkt wellicht onhandig, maar het is standaardprocedure bij open source software. Bijvoorbeeld, zit er een fout in een flash of java browserplugin dan zal de browsermaker je ook doorverwijzen naar de pluginmaker. Veel meer dan "we hebben het voor jou aan de maker van deze programmabibliotheek doorgegeven" zit er niet in, zeker niet bij een ding als VLC wat compleet aanelkaarhangt van vele plugins die op vele derdepartijprogrammabibliotheken leunen.

De rapporteur had het dus gelijk aan het ffmpeg team moeten rapporteren. Lijkt me valide vraag waarom zo'n "onderzoeker" het niet voorelkaar krijgt dat zelf te bedenken, je bent immers slim genoeg om het gat te vinden, waarom dan niet even verder kijken waar het precies zit en het probleemrapport aan de hand daarvan op de juiste plek doen belanden? Kan die onderzoeker die hier zo met zijn vondst aan het pronken is dat niet ofzo?

Door Anoniem: Ja lekker dan.
"Nee hoor mevrouwtje, die auto is prima in orde. De banden zijn wel lek, maar dan moet je de fabrikant maar bellen. Prettige dag nog! "
Lekke banden moet je zelf verhelpen, of je laat het doen bij de garage, die daar inderdaad bandenmerk-banden onder zet, en niet automobielfabrikantmerk-banden. Maar de analogie gaat niet echt op hier.

Door U-7: Let maar op: straks worden lekken meteen op straat gegooid.
Dat is videolan ook al overkomen, met dank aan "beveiligingsonderzoekers" die hun beklag deden over onresponsieve bedrijven, terwijl videolan een vrijwilligersproject is, toevallig wel met een security@ adres dat ook gelezen wordt. Als het een probleem in VLC zelf zit dan nemen ze het gewoon aan en doen er ook wat aan.

Merk op dat deze twee issues als defecten op de publieke tracker gegooid zijn en niet via security@ gerapporteerd. Op z'n minst slordig.

Het probleem hier is dat er nu naar VLC gewezen wordt terwijl het probleem in ffmpeg zit. Dat is niet alleen flauw tegenover VLC, maar belangrijker, ffmpeg wordt veel breder gebruikt dan alleen door VLC, dus als het probleem in ffmpeg zit dan zit het in alles wat ffmpeg gebruikt, en niet alleen VLC. Door dan naar alleen VLC te wijzen misleid je dus de gebruikers van al die andere software die ffmpeg ook gebruikt.

Al met al, dit is nou niet echt zoals een "beveiligingsonderzoeker" hoort te werken.
21-01-2015, 13:30 door Anoniem
om nou te zeggen dat vlc het probleem moet oplosssen indien het in de codec zit gaat mij wat ver.

maar ze kunnen er wel wat aan doen doormmiddel van die 2 codacs te verwijderen en niet te gebruiken.

als jij website paypal gebruikt en in paypal zit een lek.

ga jij dan paypal fixen ? of kom je er toch een klein beetje op terug xd
13-03-2015, 08:07 door Anoniem
De VLC uit de media Speler-bibliotheek laat hackers om willekeurige code uit te voeren fungeert als een cross-platform multimedia speler en een kader dat speelt het grootste deel van de multimedia bestanden, alsmede dvd's, audio-cd's, VCD's en diverse streaming-protocollen.

VLC uit de media Speleris een van de meest populaire mediaspeler die kwetsbaarheid die kan zorgen dat de hackers om willekeurige code uit te voeren bevat.

Voor Meer Informatie: http://verwijderenmalware.rxgip.com/vlc-kwetsbaarheid-speler-laat-hakkers-om-willekeurige-code-uit-te-voeren
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.