VLC Media Player: Sicherheitslücke sorgt für Verwirrung

Zahlreiche Medien berichten über eine schwere Sicherheitslücke im beliebten Mediaplayer VLC. Selbst das Bundesamt für Sicherheit in der Informationstechnik warnt, weil die Schwachstelle die Umgehung von Sicherheitsrestriktionen erlauben soll. Betroffen sein sollen Windows und Linux. Geführt wird die Lücke unter CVE-2019-13615. Lücken können passieren – und manche sind schwer.

Normalerweise werden solche Lücken unter dem Mantel der Verschwiegenheit an die Entwickler gemeldet, die dann in einem bestimmen Zeitraum nachpatchen, dann wird die Lücke offengelegt. Hier gibt es nun einige Verwirrungen. In Kurzform: VLC ist nach Aussagen der Entwickler als solches nicht Schuld, sondern ein Library eines Drittanbieters. Für den Nutzer sicherlich egal, aber das ist die Aussage und es geht ja noch weiter.

Die Library heißt libebml und die Lücke wurde schon vor über 16 Monaten geschlossen – seit Version 3.0.3 liefert man diese Version mit dem VLC Media Player aus. Offensichtlich haben die Sicherheitsforscher, die die Lücke gefunden haben wollen, auch nicht auf Nachfragen des Teams rund um den VLC Media Player geantwortet. Dies soll auch nicht das erste Mal gewesen sein, dass so von den Findern agiert wurde – obwohl VLC einen offenen Bugtracker anbietet.

Im Laufe eines Twitter-Threads wird auch das Bundesamt für Sicherheit in der Informationstechnik angezählt, auch diese sollen das Problem nicht nachvollzogen oder mit den Entwicklern des VLC Rücksprache gehalten haben. Viel besser ist da noch die Aussage, dass ein Finder der Lücke eine veraltete Version seines Betriebssystems einsetzt, welches eben noch die alten Librarys einsetzt.

Der langen Rede kurzer Sinn: Da ist beim Reporting der Sicherheitslücke wohl einiges im Argen gewesen – für euch wichtig: Schaut einfach, dass euer System auf dem aktuellen Stand ist und ihr auch Software aktuell haltet.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Martin Deger says:

    Extrem peinlich, wie hier (nicht hier im Blog, sondern von den Medien) eine Fehlinformation verbreitet wird.

    • Überschrift ist auch schon irreführend, müsste lauten „VLC Media Player: Vermeintliche Sicherheitslücke sorgt für Verwirrung“

      • Nein. Denn die Sicherheitslücke existiert ja – nur nicht im der aktuellen Version. Wer eine alte Version nutzt ist noch immer betroffen und sollte patchen.

        Zur Desinformation der Medien: Auf SPON hieß es gleich, man solle VLC gar nicht mehr verwenden – obwohl im selben Artikel auch stand, dass nur mkv-Dateien betroffen sind. Abgesehen davon betrifft die Lücke ja auch nur extra manipulierte Dateien. Wenn ich mir über die Herkunft sicher bin habe ich auch kein Problem.

        • GooglePayFan says:

          mkv-Dateien und über die Herkunft sicher? Guter Witz 😀 😀

          • Und wie rippst Du Deine BRs um sie im ganzen Haus auf der NAS zentral zur Verfügung zu haben?

        • Der Fehler existiert in einer zugrundeliegenden Software-Bibliothek. Die Sicherheitslücke entsteht dadurch, dass Linux-Distros den Fix nicht bereitstellen bzw. andere Nutzer ihre Software nicht aktuell halten…

  2. Blackwolf says:

    Deswegen mag ich caschys Blog. Hier herrscht kein click baith Gehabe.
    Androidpit macht Panik und fordert die Benutzer auf vlc zu löschen. Hier wird wenigstens mal nachgehakt.

    Weiter so

    • Pappschachtel says:

      Du liest Androidpit? Schäm dich!
      Das hab ich als ich seiner Zeit von WindowsPhone auf Android umgestiegen bin auch mal eine Weile, da wusste ich es noch nicht besser. Aber irgendwann merkt man was das für eine mistige Seite ist. Auch wissen die nicht wo sie selbst überhaupt hin wollen, auch wenn sie ständig von Neuausrichtung gefaselt haben. Von allem ein kleines Bisschen, solange es für Aufregung sorgt, aber nichts richtig. Eigentlich sind die ja pleite, weiß nicht wer denen noch Geld gibt. Muss ne Wette verloren haben 😀
      Aber ich stimme dir zu 😉

      BTW: selbst wenn die Sicherheitswarnung zum VLC zutrifft, juckt mich nicht im Geringsten. Ich spiele damit keine fremden Dateien ab, jetzt erst recht nicht.

    • Die Qualität der Artikel…zum fürchten. Dann auch noch solch einen schwachsinnigen Umweg zu beschreiben.

      https://www.androidpit.de/whatsapp-fotos-unkomprimiert-verschicken

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.