Experten entdecken Sicherheitslücke im VLC-Player

Security-Experten bei der Cisco Talos Intelligence Group haben Schwachstellen in der LIVE555 Media-Streaming-Library entdeckt, die von beliebten Programmen wie VLC oder dem MPlayer verwendet wird. Mit dieser Sicherheitslücke sind Millionen von Usern angreifbar, wie die Sicherheitsexpertin Lilith Wyatt in einem Blogbeitrag schreibt.

Die Library arbeitet mit RTCP, RTSP und SIP-Protokollen, um Video- und Audioformate wie MPEG, H.265, H.264, H.263 +, VP8, DV, JPEG, MPEG, AAC, AMR, AC-3, und Vorbis zu verarbeiten. Die Schwachstelle besteht der Expertin zufolge in einem Zusammenspiel zwischen dem Real Time Protokoll (RTSP) und dem http-Protokoll.

Update veröffentlicht

Inzwischen wurde ein Update veröffentlicht, das die entsprechende Sicherheitslücke schließt. Gegenüber HackRead heißt es von Live Networks, dem Unternehmen hinter der LIVE555-Library, dass entgegen dem Bericht der Cisco-Experten User von VLC und MPlayer von der Schwachstelle nicht betroffen sind: Betroffen sei lediglich der RTSP-Server, der von VLC jedoch gar nicht verwendet wird.

Es ist nicht das erste Mal, dass der VLC-Player durch eine Sicherheitslücke negativ auffällt. Vergangenes Jahr entdeckten Sicherheitsforscher eine Schwachstelle in Kodi, VLC und Popcorn Time, mit der Hacker über manipulierte Untertitel-Dateien die Kontrolle über ein System erlangen können. In einem WikiLeaks-Dokument heißt es außerdem, dass der US-Geheimdienst CIA gefälschte Versionen des VLC verwendet, um Daten von infizierten Geräten zu stehlen.