Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Computer & Mobilgeräte (Hard- & Software) (http://www.satclub-thueringen.de/board.php?boardid=66)
-- Software (http://www.satclub-thueringen.de/board.php?boardid=70)
--- VLC Player 3.0.7: So viele Sicherheitslücken wie noch nie geschlossen (http://www.satclub-thueringen.de/thread.php?threadid=27391)


Geschrieben von Muad'Dib am 11.06.2019 um 18:49:

Daumen hoch! VLC Player 3.0.7: So viele Sicherheitslücken wie noch nie geschlossen

In der aktuellen Version haben die VLC-Entwickler dank eines europäischen Bug-Bounty-Programms mehr als 30 Sicherheitsprobleme beseitigt.






Wer Videos mit dem VLC Player abspielt, sollte zügig die neue Version installieren. In der aktuellen Ausgabe 3.0.7 haben die Entwickler eigenen Angaben zufolge 33 Sicherheitslücken geschlossen so viele Schwachstellen wurden bislang noch noch nie in einem Release beseitigt.

Einem Beitrag von einem Entwickler zufolge sind zwei davon mit dem Bedrohungsgrad "hoch" eingestuft. Aber nur eine von den Lücken betrifft den Versionsstrang 3.0.x. Die andere macht die noch nicht veröffentlichte Ausgabe 4.0 verwundbar. Nutzen Angreifer die Schwachstellen aus, sollen Speicherfehler die Folge sein. So etwas ist meist die Voraussetzung für das Ausführen von Schadcode.

21 Lücken sind mit "mittel" eingestuft. Auch hier könnten Speicherfehler Computer gefährden. Dem Entwickler zufolge soll hier aber in vielen Fällen der Address-Space-Layout-Randomization- Schutzmechanismus (ASLR) von Betriebssystemen Schadcode-Angriffe vereiteln. Der Player könnte aber durchaus abstürzen (DoS-Attacke).

Bug-Bounty-Programm

Alle Lücken haben Sicherheitsforscher im Zuge eines von Free Open Source Software Analysis (FOSSA) mitinitierten Bug-Bounty-Programms entdeckt. Dabei handelt es sich um ein Projekt der EU. Das Programm läuft auf der Bug-Bounty-Plattform Hackerone. Bis dato wurden darüber Prämien in Höhe von mehr als 34.000 US-Dollar ausgezahlt.

Hintergrund der Untersuchung ist, dass das Europäische Parlament die Sicherheit seine IT-Infrastruktur verbessern will. Dafür haben sie ein Budget für FOSSA freigegeben. Im EU-Parlament kommt diverse Open-Source-Software zum Einsatz. Derzeit ist das Programm geschlossen und es ist unbekannt, zu welchem Zeitpunkt es wieder aufgenommen wird.


Quelle: https://heise.de/-4444029


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH