#1 22. September 2009 Die Entwickler des VLC media player haben die Version 1.0.2 im Quellcode veröffentlicht, die mehrere kritische Sicherheitslücken schließt. So lassen sich in den Demuxer-Plug-ins für MP4, ABVI und ASF mit präparierten Mediadateien Buffer Overflows provozieren und darüber Code einschleusen und starten. Neben dem Update stehen auch Patches im Repository bereit. Alternativ schlagen die Entwickler als Workaround vor, die betroffenen Plug-ins libmp4_plugin.*, libavi_plugin.* und libasf_plugin.* manuell im Installationsverzeichnis zu löschen – ohne das AVI-Plug-in dürfte jedoch bei den meisten Anwendern kaum Freude aufkommen. Darüber hinaus hat der Sicherheitsdienstleister Secunia auf mehrere Schwachstellen in FFmpeg, einer freien Tool- und Bibliothekssammlung zum Verarbeiten digitaler Video- und Audiodaten hingewiesen. Unter anderem nutzen VLC sowie MPlayer und xine die Sammlung. Die Fehler reichen von Null-Pointer-Dereferenzierungen und Speicherfehlern bis hin zu Heap Overflows in verschiedenen Funktionen zu Verarbeitungen diverser Medienformate. Angreifer können die Lücken ausnutzen, um ein System zum Absturz zu bringen oder zu kompromittieren. Laut Bericht sind die Fehler in der offiziellen Version 0.5 zu finden, einige der Fehler sollen aber bereits im Repository beseitigt sein. Quelle + Multi-Zitat Zitieren