VLC Media Player: Sicherheitslücke sorgt für Verwirrung
Zahlreiche Medien berichten über eine schwere Sicherheitslücke im beliebten Mediaplayer VLC. Selbst das Bundesamt für Sicherheit in der Informationstechnik warnt, weil die Schwachstelle die Umgehung von Sicherheitsrestriktionen erlauben soll. Betroffen sein sollen Windows und Linux. Geführt wird die Lücke unter CVE-2019-13615. Lücken können passieren – und manche sind schwer.
Normalerweise werden solche Lücken unter dem Mantel der Verschwiegenheit an die Entwickler gemeldet, die dann in einem bestimmen Zeitraum nachpatchen, dann wird die Lücke offengelegt. Hier gibt es nun einige Verwirrungen. In Kurzform: VLC ist nach Aussagen der Entwickler als solches nicht Schuld, sondern ein Library eines Drittanbieters. Für den Nutzer sicherlich egal, aber das ist die Aussage und es geht ja noch weiter.
Die Library heißt libebml und die Lücke wurde schon vor über 16 Monaten geschlossen – seit Version 3.0.3 liefert man diese Version mit dem VLC Media Player aus. Offensichtlich haben die Sicherheitsforscher, die die Lücke gefunden haben wollen, auch nicht auf Nachfragen des Teams rund um den VLC Media Player geantwortet. Dies soll auch nicht das erste Mal gewesen sein, dass so von den Findern agiert wurde – obwohl VLC einen offenen Bugtracker anbietet.
Im Laufe eines Twitter-Threads wird auch das Bundesamt für Sicherheit in der Informationstechnik angezählt, auch diese sollen das Problem nicht nachvollzogen oder mit den Entwicklern des VLC Rücksprache gehalten haben. Viel besser ist da noch die Aussage, dass ein Finder der Lücke eine veraltete Version seines Betriebssystems einsetzt, welches eben noch die alten Librarys einsetzt.
Der langen Rede kurzer Sinn: Da ist beim Reporting der Sicherheitslücke wohl einiges im Argen gewesen – für euch wichtig: Schaut einfach, dass euer System auf dem aktuellen Stand ist und ihr auch Software aktuell haltet.
Extrem peinlich, wie hier (nicht hier im Blog, sondern von den Medien) eine Fehlinformation verbreitet wird.
Überschrift ist auch schon irreführend, müsste lauten „VLC Media Player: Vermeintliche Sicherheitslücke sorgt für Verwirrung“
Nein. Denn die Sicherheitslücke existiert ja – nur nicht im der aktuellen Version. Wer eine alte Version nutzt ist noch immer betroffen und sollte patchen.
Zur Desinformation der Medien: Auf SPON hieß es gleich, man solle VLC gar nicht mehr verwenden – obwohl im selben Artikel auch stand, dass nur mkv-Dateien betroffen sind. Abgesehen davon betrifft die Lücke ja auch nur extra manipulierte Dateien. Wenn ich mir über die Herkunft sicher bin habe ich auch kein Problem.
mkv-Dateien und über die Herkunft sicher? Guter Witz 😀 😀
Und wie rippst Du Deine BRs um sie im ganzen Haus auf der NAS zentral zur Verfügung zu haben?
Der Fehler existiert in einer zugrundeliegenden Software-Bibliothek. Die Sicherheitslücke entsteht dadurch, dass Linux-Distros den Fix nicht bereitstellen bzw. andere Nutzer ihre Software nicht aktuell halten…
Deswegen mag ich caschys Blog. Hier herrscht kein click baith Gehabe.
Androidpit macht Panik und fordert die Benutzer auf vlc zu löschen. Hier wird wenigstens mal nachgehakt.
Weiter so
Du liest Androidpit? Schäm dich!
Das hab ich als ich seiner Zeit von WindowsPhone auf Android umgestiegen bin auch mal eine Weile, da wusste ich es noch nicht besser. Aber irgendwann merkt man was das für eine mistige Seite ist. Auch wissen die nicht wo sie selbst überhaupt hin wollen, auch wenn sie ständig von Neuausrichtung gefaselt haben. Von allem ein kleines Bisschen, solange es für Aufregung sorgt, aber nichts richtig. Eigentlich sind die ja pleite, weiß nicht wer denen noch Geld gibt. Muss ne Wette verloren haben 😀
Aber ich stimme dir zu 😉
BTW: selbst wenn die Sicherheitswarnung zum VLC zutrifft, juckt mich nicht im Geringsten. Ich spiele damit keine fremden Dateien ab, jetzt erst recht nicht.
Die Qualität der Artikel…zum fürchten. Dann auch noch solch einen schwachsinnigen Umweg zu beschreiben.
https://www.androidpit.de/whatsapp-fotos-unkomprimiert-verschicken