Nieuws
image

Beveiligingslek in VLC media player kan aanvaller code laten uitvoeren

vrijdag 27 september 2024, 15:15 door Redactie, 5 reacties

Een kwetsbaarheid in VLC media player maakt het mogelijk voor een aanvaller om willekeurige code met rechten van de aangevallen gebruiker uit te voeren. Om misbruik van het beveiligingslek te maken zou een aanvaller het doelwit een speciaal geprepareerde malafide mms-stream moeten laten openen. Een update is sinds juni beschikbaar. De Duitse overheid kwam gisteren met een waarschuwing voor het beveiligingslek. De impact daarvan is op een schaal van 1 tot en met 10 beoordeeld met een 8.8.

Het probleem is verholpen in VLC media player 3.0.21. Deze versie verscheen afgelopen juni. Tot het moment de patch is geïnstalleerd wordt aangeraden om geen mms-streams van onvertrouwde derde partijen te openen of de VLC-browserplug-ins uit te schakelen. VideoLAN, ontwikkelaar van de mediaspeler, is niet bekend met misbruik van de kwetsbaarheid. Dit jaar heeft VideoLAN pas twee beveiligingsbulletins uitgebracht. Het andere probleem betreft een beveiligingslek in de iOS-versie waardoor een denial of service mogelijk is.

Reacties (5)
Reageer met quote
Vandaag, 16:17 door Anoniem
Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...
Reageer met quote
Vandaag, 17:07 door Anoniem
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...
Nou ja, ook in Linux heb ik gemerkt dat 3.0.20 nog steeds wordt geïnstalleerd.
Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.
Reageer met quote
Vandaag, 17:22 door Anoniem
Zolang mensen de GNU/Linux of Android versie gebruiken zijn ze veilig, al heb ik dergelijke apps altijd achter een firewall staan aangezien ik het alleen offline gebruik, dat raadt ik anderen ook aan te doen als ze het niet online gebruiken.
Reageer met quote
Vandaag, 17:56 door Anoniem
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.
Reageer met quote
Vandaag, 18:01 door Anoniem
Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure