Verwirrung um VLC-"Lücke", die offenbar keine Schwachstelle ist

Vergangene Woche wurde bekannt, dass der beliebte Media-Player VLC (angeblich) eine schwere Sicherheitslücke hat. Einige Webseiten polterten, dass Nutzer die Anwendung sofort deinstallieren sollten. Mittlerweile ist VLC-Anbieter VideoLAN in die Gegenoffensive gegangen und macht den Sicherheitsorganisationen MITRE und CVE Vorwürfe. Die jüngst bekannt gewordene "kritische" Sicherheitslücke sorgt seit einigen Tagen für Aufregung, doch die Sache ist wohl nicht so schlimm wie ursprünglich gedacht. Oder besser gesagt herrscht dazu einiges an Verwirrung, wie Ghacks schreibt.

Genauer gesagt geht es um den Bug-Report mit der CVE-Nummer 2019-13615, dieser wird als kritisch eingestuft und betrifft die VLC Media Player-Versionen 3.0.7.1 und darunter. In Bezug auf die Plattformen sind alle Desktop-Versionen betroffen, also Windows, Linux und MacOS. Die Art der Bedrohung ist die Möglichkeit, von der Ferne aus Schadcode ausführen zu können - was im Wesentlichen eine der schlimmsten bzw. gefährlichsten Szenarien darstellt.


Die Beschreibung der Lücke ist für den Normalsterblichen eher nicht zu verstehen, die Schwachstelle kann aber nur dann ausgenutzt werden, wenn Nutzer eine speziell manipulierte Datei mit dem VLC Media Player öffnen. Allerdings haben die VLC-Entwickler Probleme, das Problem nachzuvollziehen und das bereits länger. Auch Projektleiter Jean-Baptiste Kempf schreibt, dass er den Bug nicht reproduzieren kann und bei ihm VLC gar nicht abstürzt.

Keine Lücke

Mittlerweile hat sich VLC auf Twitter an MITRE und CVE gewandt und schreibt, dass diese in den vergangenen Jahren nicht ein einziges Mal VLC kontaktiert hätten, bevor sie eine Lücke veröffentlichten und das "nicht cool" sei. Man stellt zudem fest, dass das auch keine explizite VLC-Schwachstelle sei.

Inzwischen hat sich VideoLAN erneut auf Twitter gemeldet (via Deskmodder) und schreibt, dass VLC nicht anfällig sei, da das Problem bei einer Third-Party-Bibliothek namens "libebml" bestehe. Diese sei zudem bereits vor 16 Monaten gefixt worden und ist auch seit VLC-Version 3.0.3 behoben, was MITRE aber nicht überprüft habe.

Download VLC Media Player - Audio- & Video-Player Multimedia, Player, Vlc, Media Player, Videolan, Videoplayer Multimedia, Player, Vlc, Media Player, Videolan, Videoplayer Videolan
Diese Nachricht empfehlen
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 07:04 Uhr Android 9.0 TV Box,Smart TV Box 4 + 64 GB Amlogic S905X3 Media Box, Unterstützung 8K/4K, BT4.0, 2.4G + 5G Dual WiFi HDMI 3.0 Smart Media Player mit FernbedienungAndroid 9.0 TV Box,Smart TV Box 4 + 64 GB Amlogic S905X3 Media Box, Unterstützung 8K/4K, BT4.0, 2.4G + 5G Dual WiFi HDMI 3.0 Smart Media Player mit Fernbedienung
Original Amazon-Preis
69,98
Im Preisvergleich ab
?
Blitzangebot-Preis
59,49
Ersparnis zu Amazon 15% oder 10,49

Video-Empfehlungen

Tipp einsenden

❤ WinFuture unterstützen

Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Affiliate-Links, um WinFuture zu unterstützen: Vielen Dank!