VLC 2.2.6 Media Player freigegeben

SicherheitDas VideoLan-Projekt hat gerade die Version 2.2.6 des VLC Media Player freigegeben. Der Player läuft unter macOS, Linux und Windows. Die VLC Version 2.2.6 ist ein Wartungsupdate, welches Probleme behebt. Nachfolgend fasse ich mal ein paar Informationen zur neuen Version zusammen.


Anzeige

Es klang im Beitrag Windows durch durch Untertitel in Videos angreifbar und in den Kommentaren bereits an: Der VLC-Media Player hat in den alten Versionen eine Sicherheitslücke, die die Übernahme des Hosts durch manipulierte Untertitel ermöglicht. Das VideoLan-Projekt hat daher das Sicherheitsupdate 2.2.5.1 für den VLC-Player freigegeben (Security hardening for DLL hijacking environments).

VLC Version 2.2.6

Gleichzeitig tauchte der VLC-Player Version 2.2.6 bereits bei PortableApps.com und auf weiteren Seiten auf, während auf den VideoLan-Projektseiten noch die Version 2.2.5.1 erwähnt wird. In den Kommentaren zum Beitrag Windows durch durch Untertitel in Videos angreifbar gab es den Hinweis, dass die Version 2.2.6 des VLC-Player auch beim VideoLAN-Projekt verfügbar sei. Während des Schreibens dieses Blog-Beitrag tauchte die neue Version bereits auf der VideoLAN-Projektseite auf, während auf den Unterseiten immer noch die Version 2.2.5.1 erwähnt und verlinkt wird.

VLC Media Player Version 2.2.6
VLC-Downloadseite

Wo gibt es die Version 2.2.6, was ist geändert?

Allerding ist der neue Zweig 2.2.6 bereits im FTP-Download-Archiv zu finden. In den Changelogs findet sich online noch nichts zur neuen Version 2.2.6. Aber in der Datei NEWS.txt des entpackten VLC 2.2.6-Archivs hat man die Änderungen zwischen der Version 2.2.5.1 und der Version 2.2.5 dokumentiert:


Anzeige

Video output

  • Fix systematic green line on nvidia
  • Fix direct3d SPU texture offsets handling

Der Bug mit der grünen Linie auf manchen Nvidia-Grafikkarten ist wohl behoben (war mir noch nicht aufgefallen).

Demuxer

  • Fix heap buffer overflows

Dieser Fix dürfte die im Beitrag Windows durch durch Untertitel in Videos angreifbar erwähnte Sicherheitslücke bei der Anzeige von Untertiteln adressieren.

Was ich sonst wissen sollte

Da die Mehrzahl der Blog-Leser den VLC-Player für Windows verwenden wird, noch einige Randbemerkungen, die ich im Beitrag Windows durch durch Untertitel in Videos angreifbar bereits als Kommentar adressiert habe.

  • Die .exe-Dateien aus dem Download-Bereich des VideoLan-Projekts enthalten immer den Installer. Das Gleiche gilt für .msi-Dateien vom FTP-Server.
  • Statt eine portable Version von Drittanbieter-Webseiten herunterzuladen, kann man sich von der VideoLan-Downloadseite den VLC-Player als .zip– oder .7z-Archiv herunterladen. Diese Archive enthalten quasi die portable Variante des Players. Einfach in einen lokalen Ordner entpacken und dann die .exe-Datei ausführen.

Noch ein kleiner Tipp. Die .zip-Archivdatei des VLC-Player ist aktuell 50 MB groß, während die .7z-Archivdatei nur auf knapp 28 MB kommt. Allerdings benötigt man zum Entpacken der .7z-Archivdatei  ein Fremdprogramm wie 7-Zip Portable. Beim .7z-Archiv sollte man aber wissen, dass (zumindest in der aktuellen Fassung) der Ordner sdk mitkommt. Der ist für Leute, die die VLC ActiveX-Komponente für den IE oder VB benötigen, möglicherweise interessant.

Viele Nutzer gehen aus naheliegenden Gründen zur Webseite vlc[dot]de, um sich den Player herunterzuladen. Davon möchte ich aber abraten. Man bekommt zwar den VLC-Player in der .exe-Variante zur Installation angeboten. Aber im Impressum findet sich unter Lizenzinformation folgender Hinweis: Die angebotene Software wird von unserem Installationsprogramm ausgeliefert. Das Installationsprogramm verändert an Ihrem PC die Startseite von verschiedenen Browsern, sowie das Suchfeld. Die Veränderung kann durch die benutzerdefinierte Installationsweise verhindert werden. Mit anderen Worten: Wer die Standardinstallation wählt, dem werden die Suchmaschineneinstellungen im Browser angepasst. Muss man nicht haben, zumal man ja die oben erwähnten Varianten auf der Webseite des VideoLan-Projekts herunterladen kann.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

25 Antworten zu VLC 2.2.6 Media Player freigegeben

  1. Dekre sagt:

    Hallo Günter der obige FTP-Link ist für 32-bit. Für 64-bit dann oben einfach zurückgehen und dann den 64-bit-Zweig anklicken.

  2. Kim O. Fee sagt:

    " […] VLC-Player als .zip– oder .7z-Archiv herunterladen. Diese Archive enthalten quasi die portable Variante des Players."

    Aber nur "quasi": Alle Einstellungen landen auch hier im User-Verzeichnis, welches man sichern sollte, wenn man es auf anderen Systemen abrufbar haben möchte.
    Die .exe-bzw. Installerversion ist mit ihren Registrierungsbank-Einträgen praktisch überflüssig geworden, genauso die Portable-Apps-Version, die noch aus der Prä-Ära des VLC stammt (als es nur den Installer gab); sie braucht über den Umweg über den Apps-Launcher außerdem etwas länger zum Starten. Die .7z-Version ist, wie bereits erwähnt, nicht nur stärker komprimiert bzw. enthält als Einzige das SDK-Verzeichnis, sondern verursacht nach meiner Beobachtung auch bei bestimmten Internet-Funktionen weniger Traffic nach draußen – warum das so ist, bleibt mir rätselhaft (inwiefern man da an an Telemetrie/Datenerfassung/Nach-Hause-Telefonieren denkt, bleibt jedem selbst überlassen).

  3. Teletom sagt:

    Danke für die übersichtliche Zusammenfassung.

  4. telescop sagt:

    die vlc-2.2.6-win64.zip auf dem ftp-Server erscheint korrupt, falsche Größe (5.983.872).

    • telescop sagt:

      ps:
      die Unterschiede zwischen .zip und 7z-Version sind etwas größer, als angegeben, für die 7z-32er:
      +4 Ordner: helpers/languages/NSIS/sdk
      +2 Dateien im HauptVz: spad.nsi/vlc.win32.nsi
      insgesamt 1.865 k mehr an Daten. Wozu?

      • Martin Feuerstein sagt:

        NSIS bzw. NSI beziehen sich auf das Nullsoft Installer SDK – also die Installations-Skriptsprache, die seinerzeit vom Team hinter Winamp entwickelt wurde

  5. Kim O. Fee sagt:

    "Wozu?"

    Öffnen/reingucken:
    UAC-Freigabe-Steuerung für den VLC, ActiveX-Datenbank (Vermutung: gegen unsicheres Nachladen, verursacht von Fremdanwendungen bei Internetanwendungen, sofern diese dies benötigen), Installer Integrity Check und NSIS Installer für Sprachdateien (prinzipiell überflüssig, einfach nur "da", falls das jemand benötigt).

    Wozu die Dateien wirklich nötig sind oder auch nicht, ist eher nicht die Frage, sondern die, weshalb die 4 unterschiedlich gearteten Dateisysteme im VLC-Kernverzeichnis ( innerhalb der exe/Apps/zip/7p) in den Downloadmenüs nicht kommuniziert werden; ein "gemeiner" User wird wohl annehmen, dass z.B. die zip und die 7z nur unterschiedlich gepackt sind und auch kein wesentlicher Unterschied zur Installerversion vorhanden ist, was eben nicht zutrifft. Allerdings dürfte es den meisten Usern gar nicht auffallen bzw. absolut egal sein, Hauptsache die Anwendungen werden wunschgemäß abgespult …

  6. Wolfgang Schneider sagt:

    Habe es mir einfacher gemacht. Die Hilfe öffnet und ich bekam 2.2.6

    http://tinyurl.com/lobrcez

    • Andreas B. sagt:

      Ahem, … ??? – Ich habe noch nie einen Link geklickt, bei dem nicht aus der Beschreibung und/oder URL eindeutig ersichtlich ist, wo man landet und was das ist.

  7. Micha sagt:

    Es ist doch gar nicht so schwer.

    1. Internetverbindung herstellen.
    2. VLC Mediaplayer öffnen.
    3. In der Dropdownmenüleiste auf "Hilfe" klicken dann "Nach Aktualisierungen suchen" anklicken.
    Dann update Installieren.

  8. Martin Feuerstein sagt:

    Btw… 2.2.6 ist die erste Version, bei der überhaupt ein Windows Installer-Paket (zumindest für x86) seitens des VideoLAN-Projekts angeboten wird… bisher musste ich das mit einigem Zeitaufwand selbst zusammenbasteln – ideal für die Softwareverteilung in größeren Umgebungen. Schade, dass es kein x64-Paket gibt, aber das x86-Paket läuft ja auch auf x64.

  9. Andreas B. sagt:

    Reine Wissensfrage (eilt nicht):
    Gibt es was Neues zum Thema Quicktime? – (Plugins etc., die ja potentiell ein Sicherheitsrisiko sind, seit die Sache nicht mehr aktualisiert wird. – So war das vor ca. einem Jahr mal Thema hier im Blog, als das Support-Ende für Quicktime gemeldet wurde.)

  10. Andreas B. sagt:

    Interessant: ESET NOD32 Antivirus blockiert die dubiose deutsche Seite komplett, vor der hier im Artikel gewarnt wird. – Wollte mir eigentlich nur aus Neugier das besagte Kleingedruckte dort mal ansehen; aber ist mir schon sehr recht so. ;-)

    Sogar beim Download via heise-downloads hat schon jemand heute einen warnenden Kommentar geschrieben. (Ob sich das wirklich auf deren Download bezieht? – Bisher ging ich immer davon aus, dass dort die Sachen einigermaßen koscher sind. – Als Hersteller-Webseite verlinken die ja übrigens die offizielle vom Projekt, und nicht die dubiose deutsche.)

  11. sandy sagt:

    Vielen lieben Dank für den Hinweis. :-)

  12. Wolfgang Schneider sagt:

    Quatsch, Andreas B., das ist kein Link sondern das Update vom Programm.
    Vergiss einfach "Quicktime". Da gibts nix mehr zu Reden. Das Ding habe
    ich zuletzt noch unter Win 98 auf dem Rechner gehabt.

    • Andreas B. sagt:

      In Form und Inhalt nicht wirklich hilfreich. :-(

      Meine für "dumm" gehaltene Frage bezieht sich u.a. auf dies hier:
      C:\Program Files\VideoLAN\VLC\plugins\codec\libquicktime_plugin.dll
      wie seinerzeit schon angesprochen, und ob darüber etwas in den Release-Notes steht.

      • Günter Born sagt:

        Ich denke, das VLC-Projekt wird über die libquicktime weiterhin eine minimale Unterstützung für Apples .MOV-Format bieten. Aber viel scheint sich nicht mehr zu tun – zumindest habe ich bei einer kurzen Suche nichts aktuelles mehr gefunden.

      • Andreas B. sagt:

        Vielen Dank, Herr Born. :-)
        Ja, das scheint mir auch so.

        Worüber man in den Kommentaren herumgrübelte, als die Meldung über das Ende von Quicktime kam, war: sollte man – falls man die eh nicht braucht – die QuickTime-Plugins überall in den diversen Programmen vorsichtshalber rausschmeißen? Also bei VLC, bei IrfanView etc., weil die veralteten Code enthalten, der mittlerweile angreifbar sein könnte. (Bei IrfanView bspw. ist ja in den Infos über die Plugins immer ganz vorbildlich die Herkunft angegeben: "Thank you … [Firmenname]", bei VLC leider nicht.)

        Nun, ich denke mal, die Sicherheitsprobleme werden wohl erst akut, wenn die Anwendung für Streaming etc. im Netzbetrieb verwendet wird. Das kann man ja bei den Einstellungen abwählen. (Ich verwende sowieso nur die Minimalinstallation für offline-Betrieb.)

  13. Kim O. Fee sagt:

    Im Windows-Bordprogramm "Photo Gallery" befinden sich ebenfalls (3) QuickTime-Dateien (12.09.2012) – Pfad: Program Files (x86)\Windows Live\Photo Gallery -> WLXQuickTimeShellExt.dll, WLXQuickTimeControlHostPS.dll und WLXQuickTimeControlHost.exe (Hinweis: alle dll- und exe-Dateien in "Photo Gallery" tragen das "WLX" im Namen)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.