VLC Media Player: Sicherheitslücke sorgt für Verwirrung

Zahlreiche Medien berichten über eine schwere Sicherheitslücke im beliebten Mediaplayer VLC. Selbst das Bundesamt für Sicherheit in der Informationstechnik warnt, weil die Schwachstelle die Umgehung von Sicherheitsrestriktionen erlauben soll. Betroffen sein sollen Windows und Linux. Geführt wird die Lücke unter CVE-2019-13615. Lücken können passieren – und manche sind schwer.

Normalerweise werden solche Lücken unter dem Mantel der Verschwiegenheit an die Entwickler gemeldet, die dann in einem bestimmen Zeitraum nachpatchen, dann wird die Lücke offengelegt. Hier gibt es nun einige Verwirrungen. In Kurzform: VLC ist nach Aussagen der Entwickler als solches nicht Schuld, sondern ein Library eines Drittanbieters. Für den Nutzer sicherlich egal, aber das ist die Aussage und es geht ja noch weiter.

Die Library heißt libebml und die Lücke wurde schon vor über 16 Monaten geschlossen – seit Version 3.0.3 liefert man diese Version mit dem VLC Media Player aus. Offensichtlich haben die Sicherheitsforscher, die die Lücke gefunden haben wollen, auch nicht auf Nachfragen des Teams rund um den VLC Media Player geantwortet. Dies soll auch nicht das erste Mal gewesen sein, dass so von den Findern agiert wurde – obwohl VLC einen offenen Bugtracker anbietet.

Im Laufe eines Twitter-Threads wird auch das Bundesamt für Sicherheit in der Informationstechnik angezählt, auch diese sollen das Problem nicht nachvollzogen oder mit den Entwicklern des VLC Rücksprache gehalten haben. Viel besser ist da noch die Aussage, dass ein Finder der Lücke eine veraltete Version seines Betriebssystems einsetzt, welches eben noch die alten Librarys einsetzt.

Der langen Rede kurzer Sinn: Da ist beim Reporting der Sicherheitslücke wohl einiges im Argen gewesen – für euch wichtig: Schaut einfach, dass euer System auf dem aktuellen Stand ist und ihr auch Software aktuell haltet.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Martin Deger says:

    Extrem peinlich, wie hier (nicht hier im Blog, sondern von den Medien) eine Fehlinformation verbreitet wird.

    • Überschrift ist auch schon irreführend, müsste lauten „VLC Media Player: Vermeintliche Sicherheitslücke sorgt für Verwirrung“

      • Nein. Denn die Sicherheitslücke existiert ja – nur nicht im der aktuellen Version. Wer eine alte Version nutzt ist noch immer betroffen und sollte patchen.

        Zur Desinformation der Medien: Auf SPON hieß es gleich, man solle VLC gar nicht mehr verwenden – obwohl im selben Artikel auch stand, dass nur mkv-Dateien betroffen sind. Abgesehen davon betrifft die Lücke ja auch nur extra manipulierte Dateien. Wenn ich mir über die Herkunft sicher bin habe ich auch kein Problem.

  2. Blackwolf says:

    Deswegen mag ich caschys Blog. Hier herrscht kein click baith Gehabe.
    Androidpit macht Panik und fordert die Benutzer auf vlc zu löschen. Hier wird wenigstens mal nachgehakt.

    Weiter so

    • Pappschachtel says:

      Du liest Androidpit? Schäm dich!
      Das hab ich als ich seiner Zeit von WindowsPhone auf Android umgestiegen bin auch mal eine Weile, da wusste ich es noch nicht besser. Aber irgendwann merkt man was das für eine mistige Seite ist. Auch wissen die nicht wo sie selbst überhaupt hin wollen, auch wenn sie ständig von Neuausrichtung gefaselt haben. Von allem ein kleines Bisschen, solange es für Aufregung sorgt, aber nichts richtig. Eigentlich sind die ja pleite, weiß nicht wer denen noch Geld gibt. Muss ne Wette verloren haben 😀
      Aber ich stimme dir zu 😉

      BTW: selbst wenn die Sicherheitswarnung zum VLC zutrifft, juckt mich nicht im Geringsten. Ich spiele damit keine fremden Dateien ab, jetzt erst recht nicht.

    • Die Qualität der Artikel…zum fürchten. Dann auch noch solch einen schwachsinnigen Umweg zu beschreiben.

      https://www.androidpit.de/whatsapp-fotos-unkomprimiert-verschicken

Schreibe einen Kommentar zu Hans Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.