Aktuelles

Kritische Sicherheitslücke im VLC media player (Update)

addey

Neuling
Thread Starter
Mitglied seit
13.01.2014
Beiträge
49
Konnte den VLC Player noch nie leiden, kann mir auch nicht vorstellen, warum dieser so beliebt ist.
Ich nutze eigentlich schon immer den Media Player Classic HC.

Die Sicherheitslücke scheint ja nicht so kritisch zu sein...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Gamerkind

Banned
Mitglied seit
29.08.2018
Beiträge
2.329
Du verwendest einen Mediaplayer, dessen Entwicklung im Jahr 2017 eingestellt wurde?
 

Gamerkind

Banned
Mitglied seit
29.08.2018
Beiträge
2.329
Die Entwicklung davon ist seit 2017 eingestellt, du wirst wohl selbst auf die Seite des Entwicklers finden.

Spricht was dagegen ?
Ja, die seit 2017 nicht gepatchten Ssicherheitslücken!

Warum nimmst du nicht den Media Player Classic BE?
Der wird wenigstens gepflegt!
 
Mitglied seit
16.02.2017
Beiträge
4.728
Ort
Ubi bene, ibi patria
Hab früher auch den VLC genutzt, irgendwann dann auf MPC HC umgesattelt und danach auf MPC BE.
 

addey

Neuling
Thread Starter
Mitglied seit
13.01.2014
Beiträge
49
Die Entwicklung davon ist seit 2017 eingestellt, du wirst wohl selbst auf die Seite des Entwicklers finden.


Ja, die seit 2017 nicht gepatchten Ssicherheitslücken!

Warum nimmst du nicht den Media Player Classic BE?
Der wird wenigstens gepflegt!

Ich nutze die 1.8.7 Version, vor 3 Tagen wurde die released...
 

Gamerkind

Banned
Mitglied seit
29.08.2018
Beiträge
2.329
Das ist die offizielle Seite, die ist seit 2017 tot
Home · MPC-HC

Ah, gerade gesehen, andere Leute pflegen den Fork jetzt weiter, ich bin aber 2017 auf den MPC-BE umgestiegen, weil eben der MPC-HC zu lange keine Updates mehr bekommen hat.
 

addey

Neuling
Thread Starter
Mitglied seit
13.01.2014
Beiträge
49
Das ist die offizielle Seite, die ist seit 2017 tot
Home · MPC-HC

Ah, gerade gesehen, andere Leute pflegen den Fork jetzt weiter, ich bin aber 2017 auf den MPC-BE umgestiegen, weil eben der MPC-HC zu lange keine Updates mehr bekommen hat.

Jap, da kommen regelmäßig Updates. Daher alles in Ordnung.
Der BE wäre halt ne Umgewöhnung :sick:

Außerdem hatten mir damals ein paar Funktionen gefehlt, keine Ahnung ab die Features mittlerweile eingepflegt worden sind.
 
Zuletzt bearbeitet:

addey

Neuling
Thread Starter
Mitglied seit
13.01.2014
Beiträge
49
Was ist beim BE so großartig anders?

Das Design :d

Mal ehrlich, wie gesagt, es fehlen Funktionen, die ich brauche bzw. gerne nutze.
Das ist nur ein Beispiel, es gibt bzw. gab weitere Funktionen die fehlen.
Keine Lust jetzt alles zu vergleichen.

Beispiel :
Oben MPC-HC unten MPC BE
Screenshot (334).png
 

chriscrosser

Experte
Mitglied seit
21.05.2013
Beiträge
2.488
Ort
in the middle of berlin
...andere alternative zum VLC (den ich aber weiterhin nutze) ist der MPC-BE (bei mir mit 64bit - 32bit version gibt es aber auch)
MPC-BE download | SourceForge.net
die webseite ist leider gewöhnungsbedürftig und man sollte dort den ublock-origin kurz mal ausschalten
der wird nach wie vor immer wieder aktualisiert und kommt angeblich auch mit formaten klar, wo der VLC manchmal probleme haben soll (aussage meines bruders in guatemala)
bei mir sind beide player in der aktuellen Version installiert... - VLC mit der 3.0.7.1 - der MPC-BE mit der 1.5.3 (build 4488)

weitere infos zum thema:
BSI warnt vor Schwachstelle im VLC-Player bis V3.0.7.1 | Borns IT- und Windows-Blog

edit:
MPC-BE - Browse /MPC-BE/Release builds/1.5.3 at SourceForge.net
 
Zuletzt bearbeitet:

Fallwrrk

Enthusiast
Mitglied seit
11.12.2011
Beiträge
5.369
Ort
NRW
Wo steht, dass der eingestellt wurde ?

v1.7.13 is released and farewell · MPC-HC

kann mir auch nicht vorstellen, warum dieser so beliebt ist.

Er spielt praktisch alles ab, was man ihm entgegen wirft, ist klein, frei und Open Source und ist zudem platformunabhängig. Er unterstützt GPU-Beschleunigung auf so ziemlich jeder Plattform mit so ziemlich jeder Grafikkarte, kann auch headless benutzt werden, hat ein optionales Web Interface und eignet sich zudem auch als API für andere Programme. Alles Dinge, die der VLC zu Release den meisten Alternativen voraus hatte.
 
Zuletzt bearbeitet:

Ycon

Semiprofi
Mitglied seit
26.07.2018
Beiträge
456
Ich nutze mittlerweile auch den VLC, da dieser m.E. die größte Schnittmenge mit meinen Anforderungen hat. Es nervt aber unfassbar, dass dieser nicht von alleine den ganzen Ordner wiedergibt...
Davor habe ich sehr lange den KMPlayer benutzt, der wurde aber irgendwann tot generft (Achtung, 1337-Slang!).
 

Scrush

Legende
Mitglied seit
31.12.2008
Beiträge
37.439
Ort
Hessen
der vlc startet einfach instant. das ist halt auch ein grund .D
 

FantasyCookie17

Neuling
Mitglied seit
18.10.2018
Beiträge
244
Laut dem CB-Thread dazu muss man, um die Sicherheitslücke auszunutzen, eine kompromittierte Datei abspielen. Die Info fehlte sowohl hier als auch im CB-Artikel. Der Exploit ist also nicht wormable, Phishing/Social Engineering (oder Zugriff auf den PC) wird also benötigt.
 

chriscrosser

Experte
Mitglied seit
21.05.2013
Beiträge
2.488
Ort
in the middle of berlin
@Ycon
...totaler quatsch!
rechte maustaste auf den ordner und dann auf:

vlc.jpg

wenn das vernünftigt geordnet ist, spielt der alles in der richtigen reihenfolge in dem ordner ab!
 

Liesel Weppen

Experte
Mitglied seit
20.07.2017
Beiträge
2.203
Konnte den VLC Player noch nie leiden, kann mir auch nicht vorstellen, warum dieser so beliebt ist.
Ich nutze eigentlich schon immer den Media Player Classic HC.
Ist besser bedienbar als der Mediaplayer Classic, finde ich. Habs z.B. beim MC noch nie hingekriegt, das man mit dem Mausrad durch ein Video scrollen kann.
Und zudem spielt er fast alles ab, ohne das man zusätzliche Codecs installieren muss.

Die Sicherheitslücke scheint ja nicht so kritisch zu sein...
Die Sicherheitslücke ist FATAL. Du musst nur ein präpariertes Video im VLC öffnen und der Angreifer kann auf deinem PC ALLES ausführen, was er will. Zunächst zwar nur mit Userrechten, aber er ist dann schonmal auf deinem Rechner. Dann nochmal eine weitere Sicherheitslücke auszunutzen, wenn man eh schon lokal ist, um auch noch Adminrechte zu kriegen, ist dann kein Kunststück mehr.
 

Fallwrrk

Enthusiast
Mitglied seit
11.12.2011
Beiträge
5.369
Ort
NRW
Die Sicherheitslücke ist FATAL. Du musst nur ein präpariertes Video im VLC öffnen

Nach der Logik ist jede Lücke fatal. Wenn man es schafft, dass der Nutzer ein präpariertes Video öffnet, dann kann man dem auch einfach jedes x-beliebige Programm unterjubeln. Die Tatsache, dass Windows Dateiendungen standardmäßig ausblendet, verschlimmert die Sache nur. So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4". Der Applikation noch nen VLC-Hütchen oder, noch besser, nen Thumbnail als Icon geben und schon braucht man keine VLC-Lücke mehr. Von daher sehe ich die Lücke mal ganz gelassen.
 

lieblingsbesuch

Enthusiast
Mitglied seit
01.12.2007
Beiträge
616
Alternative zu VLC ist zb auch Codecs zu installieren, zb shark007 Codec Pack. Dann spielt jeder Player vermeintlich alles ab.

Allerdings weitgehend sinnlos, weil man mit VLC einfach am wenigsten Ärger hat.
 

CH4F

Experte
Mitglied seit
18.02.2011
Beiträge
5.701
Ort
Bad Godesberg
Nach der Logik ist jede Lücke fatal. Wenn man es schafft, dass der Nutzer ein präpariertes Video öffnet, dann kann man dem auch einfach jedes x-beliebige Programm unterjubeln. Die Tatsache, dass Windows Dateiendungen standardmäßig ausblendet, verschlimmert die Sache nur. So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4". Der Applikation noch nen VLC-Hütchen oder, noch besser, nen Thumbnail als Icon geben und schon braucht man keine VLC-Lücke mehr. Von daher sehe ich die Lücke mal ganz gelassen.

Nach der Logik ist doch alleine die Tatsache, das eine Dateiendung existiert, bereits fraglich und offensichtlich falsch.


Gesendet von iPhone mit Tapatalk
 

Liesel Weppen

Experte
Mitglied seit
20.07.2017
Beiträge
2.203
So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4".
Das mag zwar versteckbar sein, aber man kann es erkennen. Ein präpariertes Video kann ein Anwender aber nicht erkennen, egal was er tut.
Zumal wie schon angemerkt, Windows eh nochmal warnen würde, bevor die Anwendung gestartet wird, beim Öffnen eines echten (aber präparierten) Videos kommt aber nichts mehr.
 

junkb00ster

Semiprofi
Mitglied seit
27.12.2006
Beiträge
1.592
Ort
NRW
Konnte den VLC Player noch nie leiden, kann mir auch nicht vorstellen, warum dieser so beliebt ist.
Ich nutze eigentlich schon immer den Media Player Classic HC.

VLC wird benutzt weil es der beste Player ist den es gibt. Ganz einfach.

Die Sicherheitslücke ist unkritisch, die setzt ein manipuliertes File vorraus.
 
Zuletzt bearbeitet:

chriscrosser

Experte
Mitglied seit
21.05.2013
Beiträge
2.488
Ort
in the middle of berlin
VLC wird benutzt weil es der beste Player ist den es gibt. Ganz einfach.
...genau so isses - und sollte man mit ihm ein problem haben, was so gut wie nie vorkommt, versucht man es alternativ dann mit dem MPC-BE player...
ist zumindest meine persönliche herangehensweise... :cool:

edit:
übrigens ist videolan auch immer recht flott mit seinen updates!
 
Zuletzt bearbeitet:

Fallwrrk

Enthusiast
Mitglied seit
11.12.2011
Beiträge
5.369
Ort
NRW
@Dragon & Liesel: Schon klar, trotzdem ist das keine Lücke, die ich als kritisch einstufen würde. Kritisch sind Remote ausnutzbare Lücken oder Lücken, mit denen sich direkt (ohne zweite Lücke) Administratorrechte verschafft werden können. Ihr könnt euch ja mal den Debian-Bugtracker ansehen, dann kriegt man ein sehr gutes Gefühl welche Art von Sicherheitslücke welche Prioritisierung bekommt. "Critical" bekommt da eigentlich nur eine nachweisbar benutzbare oder bereits benutzte Remote-Lücke. "High" wird es wohl wahrscheinlich, wenn die Lücke nicht nachweisbar ist, nicht Remote ausnutzbar ist oder zu keinerlei Rechteausweitung führt, wobei letzteres natürlich vom betroffenen Programm abhängt. Insofern verstehe ich schon, dass der Bug zuerst 4 Wochen einfach nur rumdümpelte. Die Prio bekommt er jetzt nur, weil die Medien angefangen haben vom Weltuntergang zu sprechen, weil das CERT seine 10 Zeilen dazu geschrieben hat.
 

chriscrosser

Experte
Mitglied seit
21.05.2013
Beiträge
2.488
Ort
in the middle of berlin
@Fallwrrk
So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4".

wer das bis heute nicht verstanden hat, hat echt ein problem und sollte auch mal nachdenken!
das gemeine ist ja, das dies eine voreinstellung bei allen windows BS ist! (...erweiterungen bei bekannten dateitypen ausblenden...)
das ist bei mir grundsätzlich immer einer der ersten einstellungen bei windows die ich dann unter ORDNEROPTIONEN immer sofort deaktiviere

erweiterungen.jpg

anyway - gab schon immer so nette versuche, einem eine vermeintliche PDF datei unterzujubeln, die in wirklichkeit ein EXE war...

;)
 

Fallwrrk

Enthusiast
Mitglied seit
11.12.2011
Beiträge
5.369
Ort
NRW
das ist bei mir grundsätzlich immer einer der ersten einstellungen bei windows die ich dann unter ORDNEROPTIONEN immer sofort deaktiviere

Bei mir ebenfalls. Aber ihr denkt glaub ich alle nicht daran, dass es Leute gibt, die das nicht rallen; die gleichen Leute, wegen denen Microsoft bei Updates diese Meldung einblenden muss. Und bei den Leuten ist es auch Wumpe, ob das n manipuliertes Video ist oder n ausführbares Programm. Und Windows 10 warnt eben NICHT, wenn man ein unbekanntes Programm öffnet, solange es keine Adminstratorrechte benötigt, wobei selbst die sicherlich von vielen Ahnungslosen einfach abgenickt werden.
 

FantasyCookie17

Neuling
Mitglied seit
18.10.2018
Beiträge
244
Wieso muss es eine EXE-Datei sein? Mit Microsoft Office und VBA lässt sich auch jede Menge Ungutes anstellen.
 
Oben Unten