RCE Schwachstelle in VLC Mediaplayer erfordert sofortiges patchen

Im Juni 2024 wurde eine Sicherheitslücke in VLC Media Player behoben, die Versionen bis einschließlich 3.0.20 betrifft. Die Schwachstelle, identifiziert als VideoLAN-SB-VLC-3021, ermöglicht durch einen integer overflow in einem manipulierten mms-Stream einen Heap-basierten Overflow. Dieser Fehler kann zu einem Denial-of-Service (DoS) führen oder zur Ausführung beliebigen Codes mit den Rechten des Nutzers.

Während der Hauptschaden voraussichtlich ein Absturz des Players ist, besteht das Risiko, dass Angriffe zur Offenlegung von Nutzerdaten oder zur Ausführung von Remote-Code führen könnten. Mechanismen wie ASLR und DEP reduzieren die Wahrscheinlichkeit der Codeausführung, sind jedoch möglicherweise umgehbar. Die Ausnutzung erfordert, dass der Benutzer bewusst einen manipulierten mms-Stream öffnet. Bis zum Update auf Version 3.0.21 sollten Benutzer daher mms-Streams von unzuverlässigen Quellen meiden oder die VLC-Browser-Plugins deaktivieren. Diese Schwachstelle wurde von Andreas Fobian von Mantodea Security GmbH gemeldet.

Für weitere Informationen und zum Herunterladen des Updates besuchen Sie die offizielle VLC-Website.

Related Posts

Schwere Sicherheitslücke in SAP Financial Consolidation

Am 10. Juni 2024 wurde eine kritische Sicherheitslücke in SAP Financial Consolidation unter der Kennung CVE-2024-37177 bekannt. SAP Financial Consolidation ist eine Softwarelösung, die Finanzdaten aus verschiedenen Quellen konsolidiert, um einheitliche Finanzberichte zu erstellen. Die Sicherheitslücke CVE-2024-37177 resultiert aus der Tatsache, dass die Anwendung Daten von unzuverlässigen Quellen akzeptiert und diese über das Netzwerk zugänglich macht. Dies eröffnet Angreifern die Möglichkeit, den Inhalt der Webanwendung zu modifizieren. Die Gefahr dabei ist, dass Angreifer möglicherweise sensible Daten einsehen oder verfälschen können.

Read More

Chinesische Cyber-Spionage-Kampagne trifft tausende FortiGate Firewalls

10. Juni 2024 – Der niederländische Nationale Cyber Security Center (NCSC) hat zusammen mit dem Militärischen Nachrichtendienst (MIVD) und dem Allgemeinen Nachrichtendienst (AIVD) eine fortgesetzte, staatlich unterstützte chinesische Cyber-Spionage-Kampagne aufgedeckt. Diese Kampagne, die als COATHANGER bekannt ist, nutzt Schwachstellen in FortiGate-Firewalls aus und hat sich als wesentlich umfangreicher erwiesen, als ursprünglich angenommen.

Read More

Windows Wi-Fi Remote Code Execution Schwachstelle betrifft alle Versionen

11. Juni 2024 – Eine gravierende Sicherheitslücke im Wi-Fi-Treiber von Windows ermöglicht es Angreifern, durch speziell gestaltete Netzwerkpakete aus der Nähe schädlichen Code auf betroffenen Systemen auszuführen. Diese Schwachstelle CVE-2024-30078 betrifft alle unterstützten Windows-Versionen und wurde mit einer hohen Schwere von 8.8 auf der CVSS-Skala bewertet.

Read More