CERT warnt vor kritischer Schwachstelle im neuesten VLC Media Player

[o2] oetti1731 am 19.07. 21:57

+ -

Zum Glück benutze ich nicht den neusten VLC - also alles easy! :)

[re:1] Mixermachine am 19.07. 22:08

+ -

@oetti1731: ist die Frage ob du mit einem anderen Player besser dran bist.
VLC ist der am meisten verwendete OpenSource Player am Markt.
Da schauen schon ziemlich viele Leute drüber.
Bei ClosedSource und unbekannten Projekten sehen deutlich weniger Augen drüber.

[re:1] serra.avatar am 20.07. 07:59

+1 -

@Mixermachine: nur sagt das auch nicht wirklich aus ... nicht die erste beliebte open source
Software wo man erst nach Jahren nen schweren Fehler aufdeckte ... ne gezielte Hintertür ja das fählt höchst wahrscheinlich auf, nen schwerer bug der sich ausnutzen läßt dagegen kaum.

Und auch hier gilt Quantität != Qualität

[re:1] Mixermachine am 20.07. 08:12

+1 -1

@serra.avatar: klar, aber wo ist die Wahrscheinlichkeit höher etwas zu entdecken?
- Bei einem Programm bei dem kaum einer drüber schaut weil closed oder unbekannt
- Bei einem Programm das sehr viele Leute nutzen, das oft extern überprüft wird (wie hier geschehen) und für das es BugBounties (EU Bugbounty) gibt.

Da fühle ich mich bei VLC doch wohler.

[o4] Johnny_Wishbone am 20.07. 10:41

+ -

Falls jemand doch mal eine Alternative in Betracht ziehen möchte: Ich benutze seit Jahren den PotPlayer; in meinen Augen unerreicht in Einstellungsmöglichkeiten und Bedienung.
So gut der VLC für manche sein mag, so häufig wie da Lücken auftauchen ist für einen MediaPlayer(!!) imo ein NoGo. GOMPlayer wäre auch als Alternative überlegenswert, aber ich glaube, der ist in den letzten Jahren etwas viel mit Werbung bedacht worden.

[o5] ttoG am 20.07. 11:05

+ -

Ich finde ja, die könnten zuerst das Problem beheben, dann eine neue Version rausgeben, und dann sollten sie erst über die Schwachstelle informieren. Bis zur nächsten Version kann sonst jeder, der die Lücke eigentlich noch nicht kannte, versuchen Zugriff zu erhalten.

[o6] tapo am 21.07. 11:21

+ -

die aktuelle Finale Version ist nun 3.0.7.1, zumindest im Changelog steht noch kein passender Fix drin:
https://www.videolan.org/developers/vlc-branch/NEWS

[re:1] Winnie2 am 21.07. 12:39

+ -

@tapo:
Die Version 3.0.7.1 ist bereits seit Mitte Juni verfügbar. Das kann nicht die Version mit der gefixten Sicherheitslücke sein.

[re:1] tapo am 22.07. 08:41

+1 -

@Winnie2: ah danke, ich hatte zumindest auf deren Homepage kein Release Date gesehen, auf externen Websites hingegen findet man das schnell^^

[re:1] Winnie2 am 22.07. 12:03

+ -

@tapo:
Bitte schön.
Die Entwickler haben eine 3.0.8 Version in der die Sicherheitslücke geschlossen ist bereits angekündigt,
aber diese ist bislang nicht fertig u. deshalb noch nicht verfügbar.

[re:2] Fropen am 24.07. 20:14

+ -

@tapo: 3.0.7 ist ja auch nicht betroffen.
Alle haben wollten nur wieder erster sein ohne die Lücke mal zu prüfen

[o7] andi070 am 22.07. 16:07

+ -

Wenn ich den VLC media player auf dem Rechner habe aber nicht benutze kann auch nichts passieren oder?
So wie beschrieben sind nur manipulierte Videos betroffen. Also Musik (mp3) nicht?

[o8] Winnie2 am 24.07. 14:13

+ -

Ist im Übrigen eine Falschmeldung wie Videolan selber berichtet.

Die Sicherheitslücke steckt nicht im VLC Player selber sondern in einer veralteten Datei welche sich auf dem Rechner des Nutzer befand.
Also kein generelles Sicherheitsproblem. Im Besonderen sind die Versionen für Windows nicht betroffen.