1. Hardwareluxx
  2. >
  3. News
  4. >
  5. Software
  6. >
  7. Anwendungen
  8. >
  9. Kritische Sicherheitslücke im VLC media player (Update)

Kritische Sicherheitslücke im VLC media player (Update)

Veröffentlicht am: von

vlcDer VLC media player ist eine weit verbreitete Mediaplayer-Software. Entsprechend viele Nutzer könnten prinzipiell von einer kritischen Sicherheitslücke betroffen sein, vor der jetzt sowohl NVD als auch CERT-Bund warnen.

CERT-Bund befasst sich als Computer Emergency Response Team der Bundesverwaltung mit dem Thema Computersicherheit. Die aktuelle Kurzinfo CB-K19/0634 ist für Nutzer des VLC media player relevant. Denn laut CERT-Bund gibt es eine Schwachstelle, die es entfernten Angreifern ermöglichen könnte, beliebigen Programmcode auszuführen, einen Denial-of-Service-Zustand herbeizuführen, Informationen abzugreifen oder auch Dateien zu manipulieren. Betroffen sein soll der VLC 3.0.7.1 auf Linux- UNIX- und Windowssystemen, also die aktuelle Version des Mediaplayers. Das Risiko wird vom CERT-Bund als hoch eingestuft.

Diese Kurzinfo bezieht sich auf die NVD (National Vulnerability Database), eine US-Datenbank zur IT-Sicherheit. Dort ist die Rede von einem "heap-based buffer over-read" bei MKV-Containern. Die NVD stuft die Sicherheitslücke als kritisch ein. Sie verweist auch auf den VLC-Bugtracker. Der entsprechende Eintrag ist dort mit höchster Priorität einsortiert worden. 

Es ist also davon auszugehen, dass die VLC-Entwickler die Sicherheitslücke in Zukunft schließen werden. Gelistet sie im VLC-Bugtracker schon seit immerhin vier Wochen, als betroffene Komponente wird der MKV-Demuxer genannt. Bisher sind noch keine erfolgreichen Angriffe bekannt geworden. Allerdings lässt sich auch nicht abschätzen, wie lange die Sicherheitslücke bereits besteht und ob auch ältere Versionen davon betroffen sein könnten. VLC-Nutzer sollten die weitere Entwicklung aufmerksam verfolgen. Vorsichtshalber könnte vorübergehend natürlich auch ein anderer Media Player genutzt werden.  

Update: Die Entwickler des VLC media players haben sich zwischenzeitlich mit kritischen Worten zur angeblichen Sicherheitslücke geäußert. Ihrer Auffassung nach gibt es kein Sicherheitsproblem mit dem VLC. Es gab nur ein Problem mit der libebml-Bibliothek (die von einem Drittanbieter stammt), für das schon vor 18 Monaten ein Fix herausgegeben wurde. Der Verfasser des ursprünglichen Eintrags im VLC-Bugtracker hatte VideoLAN nie direkt kontaktiert. Die VLC-Entwickler konnten das Problem mit der aktuellen VLC-Version (3.0.7.1) selbst nie nachstellen. Ihrer Einschätzung nach wären aktuelle Versionen von der Sicherheitsproblematik auch generell nicht betroffen. Auch auf älteren Systemen sei es sehr schwierig, die potenzielle Sicherheitslücke auszunutzen. 

Auch CERT-Bund hat die Risikoeinschätzung mittlerweile angepasst und von hoch auf niedrig gesenkt. 

Social Links

Das könnte Sie auch interessieren:

  • Sapphire TriXX​ – viele Funktionen mit guter Übersicht

    Logo von IMAGES/STORIES/2017/SAPPHIRE-TRIXX

    Advertorial / Anzeige: Mittels diverser unterschiedlicher Software können die technischen Daten und Betriebsparameter einer Grafikkarte überwacht werden. Nahezu jeder Hersteller schnürt dazu sein eigenes Softwarepaket. Hinzu kommen die Funktionen, die über die Treiber zur Verfügung gestellt... [mehr]

  • Totgeglaubte leben länger: Instant-Messaging-Dienst ICQ ist wieder da

    Logo von IMAGES/STORIES/2017/ICQ

    Lange vor dem großen Siegeszug von Messenger-Diensten wie WhatsApp, Telegram oder Signal gab es bereits in den späten 90er Jahren mit ICQ einen Instant-Messaging-Dienst, der sich großer Beliebtheit erfreute. Mit ICQ konnte man neben Textnachrichten auch Bilder oder andere Dateien an seine... [mehr]

  • Mehr als 32 Kerne im Nachteil: VMWare verändert Lizenzmodell

    Logo von IMAGES/STORIES/2017/VMWARE

    VMWare hat sein Lizenzmodell umgestellt, bzw. im Detail derart geändert, dass Prozessoren mit mehr als 32 Kernen ab sofort zwei Lizenzen benötigen. Grundsätzlich muss man zunächst einmal auf die unterschiedlichen Lizenzmodelle in diesem Bereich eingehen. Diese sehen entweder eine Lizenz pro... [mehr]

  • Marbles RTX: NVIDIA zeigt beeindruckende RTX-Demo

    Logo von IMAGES/STORIES/2017/MARBLES-RTX

    Zusammen mit der Ampere-Mikroarchitektur präsentierte NVIDIA auf der GPU Technology Conference eine beeindruckende Grafikdemo, welche die Möglichkeiten der Technik unter Beweis stellen soll. Allerdings bezieht man sich dabei eher auf die aktuelle Turing-Architektur als auf Ampere, denn... [mehr]

  • So wird die Benutzeroberfläche der Corona-Warn-App aussehen (Update)

    Logo von IMAGES/STORIES/2017/CORONA-WARN-APP

    Offenbar haben SAP und die Deutsche Telekom eine weitere Hürde zur Fertigstellung der Corona-Warn-App genommen. Auf dem GitHub Repository wurden nun die ersten Screenhots der Benutzeroberfläche gezeigt und auch das Backend wurde als Quellcode veröffentlicht. Derzeit planen die Entwickler,... [mehr]

  • NZXT CAM Controller und Software ausprobiert

    Logo von IMAGES/STORIES/2017/PREVIEW_NZXT_CAM

    Der Computer wird in der heutigen Zeit immer mehr zu einem Designobjekt, welches durch eine auffällige Beleuchtung oder durch interessante Hardware in einem noch auffälligeren Gehäuse in Szene gesetzt wird. Vorbei sind die Zeiten von Kaltlichtkathoden oder einfarbigen Beleuchtungen. Wie gut dies... [mehr]