Das Open-Source-Projekt Videolan hat am Montagmorgen (Ortszeit) [color="Blue"]erneut eine aktualisierte Fassung seines kostenfreien Mediaplayers VLC in Version 1.1.4 [/color]zur Verfügung gestellt.
Das Programm wurde diesmal nur in einem einzigen Punkt überarbeitet: Ein Sicherheitsloch im Zusammenhang mit dem Handling von ID3v2-Tags wurde geschlossen, alle Benutzer sollten die VLC-Softwaree unbedingt aktualisieren. [color="Blue"]Eine Übersicht ist an dieser Stelle zu finden.[/color]
Erst zuletzt war eine noch klaffendere Lücke geflickt, die fast alle Windows-Betriebssysteme aufweisen. Es betrifft die als DLL (Dynamic Link Libary) bezeichneten Programm-Bausteine, die sich auf einem Windows-PC mehrere Softwarepakete teilen. Durch eine unzureichende Überprüfung beim Nachladen von externen DLLs (Dynamic Link Library) ist es möglich, betroffenen Anwendungen Programmcode unterzuschieben, den Angreifer für Attacken auf den PC ausnutzen können. Diese unautorisierten Programm-Bausteine könnten dann auf dem Rechner mit den Rechten des angemeldeten Benutzers ausgeführt werden. Die DLLs können über Netzlaufwerke und USB-Sticks verteilt werden. Damit ist es Angreifern vergleichsweise einfach möglich, die Anwender auf gefährliche Web-Sites zu lenken oder sie zum Anklicken von manipulierten Dokumenten zu bewegen.Um die Lücke zu schließen, müsste man komplett das Verfahren ändern, wie Windows die DLLs lädt. Der Fehler war zuerst aufgefallen, als der Sicherheitsdienstleister Acros das problematische DLL-Verhalten in der Apple-Musiksoftware iTunes für Windows entdeckte. Bald stellte sich heraus, dass es sich um eine grundlegende Sicherheitslücke handelt, die von jedem einzelnen Softwarehersteller geschlossen werden muss. Apple hat die Schwachstelle inzwischen beseitigt.
Quelle: sat+kabel - Digital-TV, Medien, Breitband und Unterhaltungselektronik