Werbung
ALL-INKL.COM - Webhosting Server Hosting Domain Provider


 

VLC 3.0.23 korrigiert Fehler und Sicherheitslücken

Meldung von doelf, Donnerstag der 29.01.2026, 23:58:45 Uhr

logo

Seit dem 8. Januar 2026 ist der quell-offene Medienspieler VLC in der Version 3.0.23 verfügbar, die nicht nur zahlreiche Fehler beseitigt, sondern auch mehr als 16 Sicherheitslücken stopft. Viele Nutzer haben das leider wieder nicht mitbekommen, da bei der Version 3.0.21, die bisher aktuell war, weiterhin ein Fehler in der Update-Prüfung steckt. Und in der Liste der Änderungen findet sich auch kein Hinweis darauf, dass dieses Problem endlich beseitigt wurde.

Update-Prüfung unter Windows weiterhin kaputt
Während sich die meisten Linux-Distributionen selbst um Paket-Updates von Anwendungen kümmern, wäre unter Windows die integrierte Update-Prüfung sinnvoll, wenn sie denn funktionieren würde. Aber das hatte sie schon im Jahr 2024 nicht getan, als VLC am 10. Juni 2024 in der Version 3.0.21 veröffentlicht worden war. Hätte VLC unter Windows gar keine Update-Prüfung, so wäre dies nur unschön. Eine nicht funktionierende Update-Prüfung, auf die Benutzerinnen und Benutzer während der Installation sogar hingewiesen werden, sorgt hingegen für ein falsches Gefühl der Sicherheit und ist daher sehr ärgerlich.

Was wurde aus VLC 3.0.22?
Aufmerksame Lesende werden bemerkt haben, dass hier etwas fehlt, nämlich die Version 3.0.22. Und das ist korrekt, denn VLC 3.0.22 wurde nie veröffentlicht: Es gab keine Ankündigung, bis zum 8. Januar 2026 wurde auf der Download-Seite die Version 3.0.21 angeboten und ab dem 8. Januar dann gleich die Version 3.0.23. Dennoch finden sich beide Versionen, also 3.0.22 und 3.0.23, in den Änderungshinweisen. Ein Security Bulletin gibt es derweil nur für VLC 3.0.22, es datiert auf Dezember 2025.

Die geschlossenen Sicherheitslücken
Die folgenden Schwachstellen wurden erst in VLC 3.0.23 bereinigt und wurden daher noch nicht in den Sicherheitshinweisen berücksichtigt:

  • Null-Dereferenzierung in libass
  • nicht definierte Verschiebung in theora und cc-708
  • Ganzzahlenüberlauf in daala
  • Endlosschleife beim h264-Parsing
  • Pufferüberlauf in png
  • mehrere Formatüberläufe

Die folgenden Sicherheitslücken wurden bereits im nicht veröffentlichten VLC 3.0.22 beseitigt:

  • Stapelpufferüberlauf beim Lesen in TY, NSV, CVDsub, SPU, Subrip, TX3G, MPJEG (Demuxer und Decoder)
  • Stapelpufferüberlauf beim Schreiben in RLE, MP4, TX3G (Demuxer und Decoder)
  • Assertionsfehler in AVI, MP4 (Demuxer und Core)
  • Null-Dereferenzierungen in CSS-, Flac- und VTT-Modulen
  • Use-after Free im SVG-Decoder
  • Abstürze in Subtitles-Core und Jpeg2 innerhalb TS
  • Mehrere Abstürze und unkontrollierte Zugriffe in CEA-708-Untertiteln
  • Unkontrollierter Lesezugriff in Oggspot, MP4
  • Mehrere Speicherlecks in MKV, ASF/WMV, CAF und PS (Demuxer) sowie Ogg, Theora, Vorbis, WebVTT und SVCD (Decoder)
  • Warteschleife in WebVTT

Die wichtigsten Neuerungen
Unter Windows können Dateien, die gerade mit VLC abgespielt werden, umbenannt, verschoben und auch gelöscht werden. Bisher wurde in diesen Fällen der Zugriff verweigert. Neu hinzugekommen sind ARM64-Builds, die unter den ARM64-Versionen von Windows 10 und 11 funktionieren. Die Unterstützung für Windows XP SP3 wurde repariert, der Einsatz von SystemParametersInfo-Aufrufen ist jetzt auf Windows XP beschränkt. Die Funktion config_GetUserDir() versucht unter Windows nicht mehr, einen Benutzerordner anzulegen. Die Bildanzeige mit D3D11 und das Kompilieren von OpenGL-Modulen wurden repariert.

Qt kann eine dunkle Farbpalette verwenden und das Scrollen beim Lautstärkeregler wurde repariert. Unter macOS stürzt VLC beim Ziehen und Ablegen von Elementen in der Wiedergabeliste nicht mehr ab. Für KDE wurde der MPRIS-Zustand (Media Player Remote Interfacing Specification) beim Starten aus einer Datei korrigiert. Ergänzt wurden ein Frame-Raten-Verdoppler (Direct3D11) für Grafiklösungen von AMD, A_ATRAC/AT1 für Matroska sowie Unterstützung für DMX Audio Music (MUS) und dav1d-all-layers. Für WinGDI wurde ein besserer Streckmodus implementiert und die Visualisierung im Spektrogramm wurde für niedrige Frequenzen überarbeitet.

Zahlreiche Drittanbieter-Pakete wurden aktualisiert, darunter amf 1.4.34, dav1d 1.5.1, FFmpeg 4.4.5, freetype 2.13.1, gettext 0.22.5, gcrypt 1.10.1, glew 2.1.0, gmp 6.3.0, gnutls 3.8.10, harfbuzz 11.5.0, iconv 1.17, libarchive 3.8.0 mit Unterstützung für RAR 5.0, libass 0.17.3, libbluray 1.4.0, libmatroska 1.7.0, libogg 1.3.6, libpng 1.6.50, libvpx 1.15.2, lua 5.1.5, openjpeg 2.5.0, orc 0.4.33, srt 1.5.3, taglib 1.13.1 und zlib 1.3.1. libdca, libmpeg2 und liba52 wurden durch libavcodec ersetzt.

Download: VLC 3.0.23

Projekte von Freunden
Robert Mehl erbringt alle fotografischen und redaktionellen Dienstleistungen rund um das Bauwesen:
Wort und Bild aus einer Hand