In de nieuwste versie van de populaire, gratis VLC-mediaspeler is een ernstige kwetsbaarheid ontdekt en er is vooralsnog geen patch beschikbaar. Intussen is gebleken dat het lek zich in een library van een dere partij bevond.

VideoLANs VLC-speler is open source software die veel wordt gebruikt om verschillende types audio- visuele bestanden af e spelen en te converteren. De speler is beschikbaar voor de meeste besturingssystemen - Windows, Linux, Mac OS X, Unix, iOS en Android.

ZDNet schrijft dat een recent beveiligingsadvies van het Duitse Computer Emergency Response Team (CERT-Bund) waarschuwt dat de nieuwste versie 3.0.7.1 voor in elk geval Windows, Linux en Unix een zeer ernstige kwetsbaarheid bevat en dat de bug mogelijk ook aanwezig is in eerdere versies. Er zijn nog geen bewijzen dat de versie voor Macs ook lek is.

"Een externe, anonieme aanvaller kan het beveiligingslek in VLC misbruiken om willekeurige code uit te voeren, een denial-of-service te veroorzaken, informatie te exfiltreren of bestanden te manipuleren," stelt internet security bedrijf ESET.

VideoLAN stelt hard aan een oplossing te werken en heeft de hoogste prioriteit gegeven aan een patch hiervoor. Er zijn overigens nog geen gevallen bekend van misbruik van dit lek.

UPDATE:

Enige tijd na het bekend worden van dit verhaal, is gebleken dat het lek niet in de mediaspeler zelf zit, maar in de library van een derde partij. Dat stelt VideoLAN in een bericht op Twitter.