Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > de.comp.os.unix.linux.misc > #131745 > unrolled thread

VLC

Started byMatthias Gerds <m.gerds@posteo.de>
First post2023-06-21 19:41 +0200
Last post2023-06-24 20:59 +0200
Articles 7 on this page of 67 — 17 participants

Back to article view | Back to de.comp.os.unix.linux.misc


Contents

  VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 19:41 +0200
    Re: VLC Tim Ritberg <tim@server.invalid> - 2023-06-21 19:57 +0200
      Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 20:54 +0200
        Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 21:47 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:46 +0200
          Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-24 12:04 +0200
            Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:24 +0200
              Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-24 20:54 +0200
              Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-25 12:17 +0200
                Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-25 19:02 -0400
            Re: VLC Hermann Riemann <nospam.ng@hermann-riemann.de> - 2023-06-24 17:56 +0200
              Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-25 12:18 +0200
        Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-21 22:01 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:47 +0200
            Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-22 19:45 +0200
              Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-23 09:31 +0200
                Re: VLC Joerg Lorenz <hugybear@gmx.ch> - 2023-06-23 09:36 +0200
                Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-23 09:43 +0200
                  Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-23 12:02 +0200
                Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-23 21:27 -0400
                  Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-24 09:31 +0200
                    Re: VLC Wolfgang Bauer <wolfgang-bauer@mein.gmx> - 2023-06-24 10:55 +0200
                      Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-24 17:50 +0200
                    Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-24 21:48 -0400
        Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:18 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:47 +0200
        Re: VLC Frank Miller <miller@posteo.ee> - 2023-06-21 22:44 +0200
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-21 23:48 +0200
        Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-21 21:51 -0400
          Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 11:34 +0200
            Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 11:56 +0200
              Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 12:12 +0200
                Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 12:17 +0200
                  Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 12:27 +0200
                    Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 12:39 +0200
            Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 13:45 +0000
              Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 16:08 +0200
                Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 14:38 +0000
                  Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 18:26 +0200
                    Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-22 18:34 +0200
                      Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 15:56 -0400
                      Re: VLC Sieghard Schicktanz <Sieghard.Schicktanz@SchS.de> - 2023-06-22 22:37 +0200
                        Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-23 11:23 +0200
                Re: VLC Christian Garbs <mitch@cgarbs.de> - 2023-06-22 14:45 +0000
              Re: VLC Matthias Gerds <m.gerds@posteo.de> - 2023-06-22 19:37 +0200
                Re: VLC Gerald E¡scher <Spamer@fahr-zur-Hoelle.org> - 2023-06-22 18:38 +0000
                  Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 16:02 -0400
              Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 15:51 -0400
      Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 23:32 +0200
    Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 21:03 +0200
      Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:20 +0200
        Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-21 23:16 +0200
          Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-22 10:51 +0200
            Re: VLC Bernd Mayer <beam.bam.boom@knuut.de> - 2023-06-22 12:00 +0200
              Re: VLC Wolfgang Bauer <wolfgang-bauer@mein.gmx> - 2023-06-22 12:27 +0200
          Re: VLC Ralph Angenendt <dein.name@strg-alt-entf.org> - 2023-06-22 09:03 +0000
            Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-22 20:02 -0400
              Re: VLC Patrick Rudin <taxi_bs@gmx.ch> - 2023-06-23 14:59 +0200
              Re: VLC Christian Garbs <mitch@cgarbs.de> - 2023-07-09 18:55 +0000
    Re: VLC Marco Moock <mo01@posteo.de> - 2023-06-21 22:17 +0200
      Re: VLC Andreas Kohlbach <ank@spamfence.net> - 2023-06-21 21:48 -0400
        Re: VLC Hermann Riemann <nospam.ng@hermann-riemann.de> - 2023-06-22 07:11 +0200
          Re: VLC Joerg Lorenz <hugybear@gmx.ch> - 2023-06-22 09:08 +0200
          Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:27 +0200
    Re: VLC Arno Welzel <usenet@arnowelzel.de> - 2023-06-24 12:03 +0200
      Re: VLC Marcel Mueller <news.5.maazl@spamgourmet.org> - 2023-06-24 17:35 +0200
        Re: VLC "Peter J. Holzer" <hjp-usenet3@hjp.at> - 2023-06-24 20:59 +0200

Page 4 of 4 — ← Prev page 1 2 3 [4]


#131783

FromAndreas Kohlbach <ank@spamfence.net>
Date2023-06-21 21:48 -0400
Message-ID<87bkh8l11i.fsf@usenet.ankman.de>
In reply to#131757
On Wed, 21 Jun 2023 22:17:37 +0200, Marco Moock wrote:
>
> Am 21.06.2023 um 19:41:23 Uhr schrieb Matthias Gerds:
>
>> Vorsicht vor dem VLC-Mediaplayer. Zumindest die älteren Versionen
>> sind durch Hacker unterwandert.
>
> |Die Angreifer nutzten anscheinend eine nicht geschlossene
> |Sicherheitslücke in einem Microsoft-Exchange-Server aus, um ihre
                             ^^^^^^^^^^^^^^^^^^^^^^^^^
> |Malware zu verbreiten. Die Schadsoftware tarnten die Angreifer durch
> |den bekannten VLC Video Player. Die eigentliche VLC-Datei war
> |einwandfrei, doch sie nutzte eine bösartige DLL-Datei, um die Malware
                                               ^^^
> |einzuschleusen und gleichzeitig zu tarnen. Für die Fernsteuerung der
> |infizierten Rechner nutzten die Angreifer auch einen WinVNC-Server.
>
> Wo war da nun die Lücke im echten VLC?

Und wegen "Microsoft-Exchange-Server" und "DLL", in der Linux Version?

Ich las auch, dass es VLC mit Malware zum Herunterladen gibt. Da hatten
einige Hacker Google bezahlt, dass deren Link mit Malware als erstes
angezeigt wird, wenn man nach "download" "VLC" oder Ähnliches suchte. Dem
hat Google mittlerweile einen Riegel vorgeschoben.

Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und
installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro
haben.
-- 
Andreas

[toc] | [prev] | [next] | [standalone]


#131786

FromHermann Riemann <nospam.ng@hermann-riemann.de>
Date2023-06-22 07:11 +0200
Message-ID<kfi3f8Fgn2mU4@mid.individual.net>
In reply to#131783
Am 22.06.23 um 03:48 schrieb Andreas Kohlbach:

> Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und
> installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro
> haben.

Und woher dann die Distributionen bekommen?

[toc] | [prev] | [next] | [standalone]


#131794

FromJoerg Lorenz <hugybear@gmx.ch>
Date2023-06-22 09:08 +0200
Message-ID<u70s0o$37nki$2@dont-email.me>
In reply to#131786
Am 22.06.23 um 07:11 schrieb Hermann Riemann:
> Am 22.06.23 um 03:48 schrieb Andreas Kohlbach:
> 
>> Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und
>> installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro
>> haben.
> 
> Und woher dann die Distributionen bekommen?

Von den Anbieterseiten aus dem Internet? Aber nur von dort.

-- 
Gutta cavat lapidem (Ovid)

[toc] | [prev] | [next] | [standalone]


#131983

FromMarcel Mueller <news.5.maazl@spamgourmet.org>
Date2023-06-24 17:27 +0200
Message-ID<u7721m$1ot4c$3@gwaiyur.mb-net.net>
In reply to#131786
Am 22.06.23 um 07:11 schrieb Hermann Riemann:
> Am 22.06.23 um 03:48 schrieb Andreas Kohlbach:
> 
>> Grundsätzlich sollten Linux User eh keine Software aus dem Netz laden und
>> installieren, wenn Linux sie selbst hat. Wie VLC. Dürfte wohl jede Distro
>> haben.
> 
> Und woher dann die Distributionen bekommen?

Aus dem Repository der Distro, das mit Krypto-Signaturen gesichert ist.
Nur den Installer muss man einmal heruntergeladen haben. Da gibt es dann 
einen MD5-Hash, den man vorher prüfen kann.


Marcel

[toc] | [prev] | [next] | [standalone]


#131938

FromArno Welzel <usenet@arnowelzel.de>
Date2023-06-24 12:03 +0200
Message-ID<kfntb4FdejkU25@mid.individual.net>
In reply to#131745
Matthias Gerds, 2023-06-21 19:41:

> Vorsicht vor dem VLC-Mediaplayer. Zumindest die älteren Versionen sind 
> durch Hacker unterwandert.
> Beim Versuch, eine DVD abzuspielen, ist bei mir der ganze Desktop 
> abgestürzt zurück auf Login. Und jetzt startet das ganze System nicht 
> mehr (Kernel panic). Möglicherweise ist das bei neueren Versionen 
> bereinigt. Bei meiner war das offenbar nicht der Fall. Vielleicht ist 
> aber auch ein ganz anderer Fehler der Grund für den Absturz.
> 
> Die Meldungen sind zwar schon 1 Jahr alt, aber die VLC-Version vom 
> Debian-11-Repository wohl auch.
> 
> https://www.pcwelt.de/article/1203396/hacker-nutzen-vlc-media-player-als-malware-schleuder.html

Zitat:

"Die Angreifer nutzten anscheinend eine nicht geschlossene
Sicherheitslücke in einem Microsoft-Exchange-Server aus, um ihre Malware
zu verbreiten. Die Schadsoftware tarnten die Angreifer durch den
bekannten VLC Video Player. Die eigentliche VLC-Datei war einwandfrei,
doch sie nutzte eine bösartige DLL-Datei, um die Malware einzuschleusen
und gleichzeitig zu tarnen. Für die Fernsteuerung der infizierten
Rechner nutzten die Angreifer auch einen WinVNC-Server."

So viel Text für so wenig Erklärung.

Was genau wurde denn jetzt gemacht? Das übliche Problem der DLL-Injection?

> Gibt's evtl. andere/neuere Erkenntnisse?

Nein, DLL-Injection geht immer. So funktioniert Windows nunmal.

Technisch:

Anwendungen laden DLLs mit Angabe des Namens, z.B. "msvcr110.dll".

Wenn die DLL nicht im Verzeichnis der Anwendung selbst vorhanden ist,
prüft Windows alle Ordner, die in PATH angegeben sind, um die DLL zu finden.

Problem:

1) Ein Angreifer kann eine DLL im Anwendungsverzeichnis ablegen, die
*statt* der richtigen DLL im Window-Systemverzeichnis benutzt wird

2) Ein Angreifer kann eine DLL in einem der Pfade in PATH ablegen, dann
dann geladen wird, bevor die richtige DLL verwendet wird.

Abhilfe ginge nur, wenn die Entwickler von Software, wie VLC, DLLs nicht
ohne Pfadangabe laden sondern den Pfad immer absolut angeben - z.B. wenn
es System-DLLs sind, immer den Pfad zu dem Ordner, wo diese
normalerweise liegen und den man auch unter Windows ermitteln kann.


-- 
Arno Welzel
https://arnowelzel.de

[toc] | [prev] | [next] | [standalone]


#131984

FromMarcel Mueller <news.5.maazl@spamgourmet.org>
Date2023-06-24 17:35 +0200
Message-ID<u772gc$1ot4c$4@gwaiyur.mb-net.net>
In reply to#131938
Am 24.06.23 um 12:03 schrieb Arno Welzel:
>> Gibt's evtl. andere/neuere Erkenntnisse?
> 
> Nein, DLL-Injection geht immer. So funktioniert Windows nunmal.

AFAIK gibt es schon recht lange Abhilfe, die aber vom Programm aktiv 
genutzt werden muss.

> Technisch:
> 
> Anwendungen laden DLLs mit Angabe des Namens, z.B. "msvcr110.dll".
> 
> Wenn die DLL nicht im Verzeichnis der Anwendung selbst vorhanden ist,
> prüft Windows alle Ordner, die in PATH angegeben sind, um die DLL zu finden.
> 
> Problem:
> 
> 1) Ein Angreifer kann eine DLL im Anwendungsverzeichnis ablegen, die
> *statt* der richtigen DLL im Window-Systemverzeichnis benutzt wird

Dazu braucht es i.d.R. Admin-Rechte. Ausnahme: Portable-Installationen 
im User-Verzeichnis oder auf ext. Datenträger.

> 2) Ein Angreifer kann eine DLL in einem der Pfade in PATH ablegen, dann
> dann geladen wird, bevor die richtige DLL verwendet wird.

Dazu meistens auch.

Aber es gibt auch noch:
3) Ein Angreifer legt die DLL ins Verzeichnis mit der Videodatei. Wenn 
der Player daraus per Doppelklick startet kann es passieren, dass das 
Verzeichnis als aktuelles Verzeichnis übernommen wird. In dem Fall 
braucht es keine Admin-Rechte.

> Abhilfe ginge nur, wenn die Entwickler von Software, wie VLC, DLLs nicht
> ohne Pfadangabe laden sondern den Pfad immer absolut angeben - z.B. wenn
> es System-DLLs sind, immer den Pfad zu dem Ordner, wo diese
> normalerweise liegen und den man auch unter Windows ermitteln kann.

Das geht nur, wenn man die DLL explizit lädt. Üblicherweise werden aber 
die allermeisten vom Exe-Loader als Dependencies automatisch geladen. Da 
gibt es aber auch ein paar Optionen.


Marcel

[toc] | [prev] | [next] | [standalone]


#132005

From"Peter J. Holzer" <hjp-usenet3@hjp.at>
Date2023-06-24 20:59 +0200
Message-ID<slrnu9ef8h.v9he.hjp-usenet3@trintignant.hjp.at>
In reply to#131984
On 2023-06-24 15:35, Marcel Mueller <news.5.maazl@spamgourmet.org> wrote:
> Am 24.06.23 um 12:03 schrieb Arno Welzel:
>> Technisch:
>> 
>> Anwendungen laden DLLs mit Angabe des Namens, z.B. "msvcr110.dll".
>> 
>> Wenn die DLL nicht im Verzeichnis der Anwendung selbst vorhanden ist,
>> prüft Windows alle Ordner, die in PATH angegeben sind, um die DLL zu finden.
>> 
>> Problem:
>> 
>> 1) Ein Angreifer kann eine DLL im Anwendungsverzeichnis ablegen, die
>> *statt* der richtigen DLL im Window-Systemverzeichnis benutzt wird
>
> Dazu braucht es i.d.R. Admin-Rechte.

Das braucht man auch für die Installation des Programms, und da die DLL
mit dem Programm mitgeliefert wurde, hat der Installer natürlich für
beide Files die gleichen Rechte.

(Ich bin unentschieden, ob das Auslagern des Schadcodes in eine DLL
schlau oder dumm war: Einerseits ist das EXE-File unverändert,
andererseits liegt da ganz offensichtlich eine DLL herum, die dort nicht
hingehört)

        hp

[toc] | [prev] | [standalone]


Page 4 of 4 — ← Prev page 1 2 3 [4]

Back to top | Article view | de.comp.os.unix.linux.misc


csiph-web