De makers van VLC waarschuwen voor een gevaarlijk gat in die mediaspeler (versie 2.0.5 en ouder) voor Windows en Mac. Misbruik hiervan is mogelijk na het klikken op een speciaal ontworpen ASF-videobestand, wat dan voor een geheugenfout zorgt. Daarlangs kan in sommige gevallen malware worden uitgevoerd op de computer waarop VLC draait.

Nog niet bevestigd

Het gat is ontdekt door de Indische beveiligingsexpert Debasish Mandal, die een beveiligingsadvies heeft geschreven dat door VideoLAN is overgenomen. Bij een succesvolle aanval crasht de open source mediaspeler door een buffer overflow. Dat vastlopen kan een grotere impact hebben dan slechts het uitvallen van de mediaspeler. "In sommige gevallen kunnen aanvallers deze kwestie misbruiken om eigen code uit te voeren", waarschuwt VLC-maker VideoLAN. Die kwaadaardige code draait dan met de rechten van de zojuist gecrashte mediaspeler.

Alle gebruikers wordt geadviseerd om geen bestanden te openen van onbetrouwbare partijen of websites. Via de browser plugin van VLC kan een ASF-bestand ingebed op een site al gevaar vormen. Het uitschakelen van de browser plugin is dan ook een maatregel die gebruikers kunnen nemen. Een alternatieve oplossing is het zelf handmatig uit VLC verwijderen van de demuxer voor het ASF-videoformaat. Die libasf_plugin is te vinden is in de installatiemap voor VLC-plugins.

Patch in de maak

Een patch voor de VLC-uitvoeringen voor Windows en Mac OS X is in de maak. De makers beloven dat de aanstaande versie 2.0.6 een definitieve oplossing biedt. Gebruikers kunnen van deze versie alvast een nightly build downloaden. Deze alpha-versie bevat al een patch voor het nu geopenbaarde buffer overflow-lek, maar kan mogelijk nog andere bugs hebben omdat de software nog in ontwikkeling is.