VLC bevat mogelijk beveiligingsprobleem
Bij het verwerken van asf-streams in VLC kan een bug optreden, waardoor kwaadwillenden mogelijk eigen code kunnen draaien op het systeem van een gebruiker. Een oplossing is nog niet voorhanden, maar zou zo snel mogelijk moeten verschijnen.
Beveiligingsonderzoeker Debasish Mandal ontdekte dat de asf-parser van de populaire VLC-mediaspeler een potentieel beveiligingsprobleem bevat, zo bevestigen de ontwikkelaars van het project. Asf is een bestandsformaat van Microsoft waarmee audio- en videostreams kunnen worden gestart.
Een 'speciaal geprepareerd' asf-bestand kan in de parser een buffer overflow veroorzaken. Een buffer overflow zorgt ervoor dat meer data naar het geheugen geschreven wordt dan waarvoor ruimte is gereserveerd, waardoor een aanvaller bijvoorbeeld gegevens naar uitvoerbaar geheugen kan schrijven.
Of dat in dit geval ook kan, is nog niet duidelijk. Volgens het VLC-team zou dat in 'sommige gevallen' mogelijk kunnen zijn, maar is dat niet bevestigd. Daarnaast stelt VLC dat gebruikers expliciet een asf-bestand moeten openen om kwetsbaar te zijn, maar tegelijkertijd raadt het bedrijf gebruikers aan om geen 'onvertrouwde sites' te bezoeken, niet zomaar asf-bestanden te openen en de VLC-browser-plugin uit te schakelen. Een alternatief is om de asf-plugin uit te schakelen, door deze te verwijderen uit de plugin-folder van VLC.
Reacties (41)
Wat ik erg vreemd vind is dat de patch al een poosje op de plank ligt. Dit soort bugs zijn kritiek en vragen om een vlugge release. De enige reden die ik kan bedenken waarom dit niet is uitgebuit is omdat WMP de default is voor .asf, waardoor VLC erg lastig te targetten is.
[Reactie gewijzigd door RSpliet op donderdag 31 januari 2013 12:07]
Opzich wel tof alleen is de compressie van videobestanden al dusdanig goed dat rarren vaak niet de moeite is, ben dan ook benieuwd wat jouw winst was (in MB/GB) om het in te pakken...
[Reactie gewijzigd door watercoolertje op donderdag 31 januari 2013 12:15]
Heb het net even geprobeerd en VLC kan inderdaad docx ducumenten afspelenVLC gebruik ik nog om Word documenten af te spelen, dat ding kan écht alles!
Ook al gebruiken de meeste mensen VLC voor het afspelen van lokale films/audio, toch is er wel een risico. Internet staat nmlk vol met wmv/asf bestanden met populaire titels die bij uitvoeren niets op het scherm tonen. Vaak klopt de grootte van de bestanden niet (eerste indicatie). Deze bestanden zitten vaak vol met scriptjes die kwetsbaarheden (proberen te) gebruiken. Dit is er dus 1 van.
.En anders heb je het hele FAT gebeuren ook nog (stomme windows...) met bestanden >4GB
[Reactie gewijzigd door mat.hi.as op donderdag 31 januari 2013 12:31]
Link: http://www.videolan.org/security/sa1302.htmlWorkarounds
The user should refrain from opening files from untrusted third parties or accessing untrusted remote sites (or disable the VLC browser plugins), until the patch is applied.
Alternatively, the ASF demuxer (libasf_plugin.*) can be removed manually from the VLC plugin installation directory. This will prevent ASF movie playback.
Het enige voordeel dat je met RAR of dergelijke kan halen is het opsplitsen in meerdere bestanden (wat dus ook het doel van mat.hi.as. was).
(edit: bedoel dat FAT gebruikt wordt door OS X, Windows, Linux en allerlei willekeurige apparaten als camera's, telefoons en mp3 spelers)
[Reactie gewijzigd door Dreamvoid op donderdag 31 januari 2013 17:08]
Nog een voordeel is dat je een RAR bestand (en zip en 7zip enz) kan testen zodat je kan zien of de inhoud beschadigd is. Ander voordeel is dat je naast het video bestand ook een bestandje met metadata kan opnemen zodat de boel bijelkaar blijft. Als je de RAR aanmaakt met de laagste compressie stand (store) dan is het ook nog supersnel.Het enige voordeel dat je met RAR of dergelijke kan halen is het opsplitsen in meerdere bestanden (wat dus ook het doel van mat.hi.as. was).
vs
Video beschadigd: "Oops, ik sla deze frames wel even over"
RAR is dan alleen interessant i.c.m. reparatie mogelijkheden (par2's?), maar zelfs dan vind ik het niet de moeite (en de vele extra data) waard; upload gewoon een video en ik neem een beschadigd videobestandje wel voor lief.
[Reactie gewijzigd door Gamebuster op donderdag 31 januari 2013 13:40]
De eerste window versies draaiden alleen op FAT, later is er NTFS bij gekomen.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
