Verwirrung um VLC-"Lücke", die offenbar keine Schwachstelle ist

Witold Pryjda, 24.07.2019 16:07 Uhr 2 Kommentare
Vergangene Woche wurde bekannt, dass der beliebte Media-Player VLC (angeblich) eine schwere Sicherheitslücke hat. Einige Webseiten polterten, dass Nutzer die Anwendung sofort deinstallieren sollten. Mittlerweile ist VLC-Anbieter VideoLAN in die Gegenoffensive gegangen und macht den Sicherheitsorganisationen MITRE und CVE Vorwürfe. Die jüngst bekannt gewordene "kritische" Sicherheitslücke sorgt seit einigen Tagen für Aufregung, doch die Sache ist wohl nicht so schlimm wie ursprünglich gedacht. Oder besser gesagt herrscht dazu einiges an Verwirrung, wie Ghacks schreibt.

Genauer gesagt geht es um den Bug-Report mit der CVE-Nummer 2019-13615, dieser wird als kritisch eingestuft und betrifft die VLC Media Player-Versionen 3.0.7.1 und darunter. In Bezug auf die Plattformen sind alle Desktop-Versionen betroffen, also Windows, Linux und MacOS. Die Art der Bedrohung ist die Möglichkeit, von der Ferne aus Schadcode ausführen zu können - was im Wesentlichen eine der schlimmsten bzw. gefährlichsten Szenarien darstellt.


Die Beschreibung der Lücke ist für den Normalsterblichen eher nicht zu verstehen, die Schwachstelle kann aber nur dann ausgenutzt werden, wenn Nutzer eine speziell manipulierte Datei mit dem VLC Media Player öffnen. Allerdings haben die VLC-Entwickler Probleme, das Problem nachzuvollziehen und das bereits länger. Auch Projektleiter Jean-Baptiste Kempf schreibt, dass er den Bug nicht reproduzieren kann und bei ihm VLC gar nicht abstürzt.

Keine Lücke

Mittlerweile hat sich VLC auf Twitter an MITRE und CVE gewandt und schreibt, dass diese in den vergangenen Jahren nicht ein einziges Mal VLC kontaktiert hätten, bevor sie eine Lücke veröffentlichten und das "nicht cool" sei. Man stellt zudem fest, dass das auch keine explizite VLC-Schwachstelle sei.

Inzwischen hat sich VideoLAN erneut auf Twitter gemeldet (via Deskmodder) und schreibt, dass VLC nicht anfällig sei, da das Problem bei einer Third-Party-Bibliothek namens "libebml" bestehe. Diese sei zudem bereits vor 16 Monaten gefixt worden und ist auch seit VLC-Version 3.0.3 behoben, was MITRE aber nicht überprüft habe.

Download VLC Media Player - Audio- & Video-Player
2 Kommentare lesen & antworten
Folge WinFuture auf Google News
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies