Verwirrung um VLC-"Lücke", die offenbar keine Schwachstelle ist

Multimedia, Player, Vlc, Media Player, Videolan, Videoplayer Bildquelle: Videolan
Vergangene Woche wurde bekannt, dass der beliebte Media-Player VLC (angeblich) eine schwere Sicherheitslücke hat. Einige Webseiten polterten, dass Nutzer die Anwendung sofort deinstallieren sollten. Mittlerweile ist VLC-Anbieter VideoLAN in die Gegenoffensive gegangen und macht den Sicherheitsorganisationen MITRE und CVE Vorwürfe. Die jüngst bekannt gewordene "kritische" Sicherheitslücke sorgt seit einigen Tagen für Aufregung, doch die Sache ist wohl nicht so schlimm wie ursprünglich gedacht. Oder besser gesagt herrscht dazu einiges an Verwirrung, wie Ghacks schreibt.

Genauer gesagt geht es um den Bug-Report mit der CVE-Nummer 2019-13615, dieser wird als kritisch eingestuft und betrifft die VLC Media Player-Versionen 3.0.7.1 und darunter. In Bezug auf die Plattformen sind alle Desktop-Versionen betroffen, also Windows, Linux und MacOS. Die Art der Bedrohung ist die Möglichkeit, von der Ferne aus Schadcode ausführen zu können - was im Wesentlichen eine der schlimmsten bzw. gefährlichsten Szenarien darstellt.


Die Beschreibung der Lücke ist für den Normalsterblichen eher nicht zu verstehen, die Schwachstelle kann aber nur dann ausgenutzt werden, wenn Nutzer eine speziell manipulierte Datei mit dem VLC Media Player öffnen. Allerdings haben die VLC-Entwickler Probleme, das Problem nachzuvollziehen und das bereits länger. Auch Projektleiter Jean-Baptiste Kempf schreibt, dass er den Bug nicht reproduzieren kann und bei ihm VLC gar nicht abstürzt.

Keine Lücke

Mittlerweile hat sich VLC auf Twitter an MITRE und CVE gewandt und schreibt, dass diese in den vergangenen Jahren nicht ein einziges Mal VLC kontaktiert hätten, bevor sie eine Lücke veröffentlichten und das "nicht cool" sei. Man stellt zudem fest, dass das auch keine explizite VLC-Schwachstelle sei.

Inzwischen hat sich VideoLAN erneut auf Twitter gemeldet (via Deskmodder) und schreibt, dass VLC nicht anfällig sei, da das Problem bei einer Third-Party-Bibliothek namens "libebml" bestehe. Diese sei zudem bereits vor 16 Monaten gefixt worden und ist auch seit VLC-Version 3.0.3 behoben, was MITRE aber nicht überprüft habe.

Download VLC Media Player - Audio- & Video-Player Multimedia, Player, Vlc, Media Player, Videolan, Videoplayer Multimedia, Player, Vlc, Media Player, Videolan, Videoplayer Videolan
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 16:55 Uhr Bqeel Android TV Box R1 Plus/ 4G Ram 64G Rom/ Android 9.0 TV Box mit RK3318 Quad-Core 64bit Cortex-A53/ unterstützt WiFi 2.4G/5.0G /Bluetooth 4.0/ 4K/USB 3.0/ HDMI 2.0a Smart tv Box Android BoxBqeel Android TV Box R1 Plus/ 4G Ram 64G Rom/ Android 9.0 TV Box mit RK3318 Quad-Core 64bit Cortex-A53/ unterstützt WiFi 2.4G/5.0G /Bluetooth 4.0/ 4K/USB 3.0/ HDMI 2.0a Smart tv Box Android Box
Original Amazon-Preis
69,98
Im Preisvergleich ab
?
Blitzangebot-Preis
56,09
Ersparnis zu Amazon 20% oder 13,89

Video-Empfehlungen

Tipp einsenden