Update 24.7.2019: Videolan dementiert und Bund CERT korrigiert Einstufung
Videolan widerspricht der Einschätzung von CERT Bund über die Schwere der Sicherheitslücke in der aktuellen Version des VLC Players. Laut Videolan sei der VLC Media Player in der aktuellen Version 3.0.7.1 durchaus sicher. Nur in einer alten Version der Third-Party-Bibliothek libebml würde tatsächlich die von CERT beschriebene Lücke stecken. Diese Lücke sei aber bereits vor über 16 Monaten geschlossen worden.
Der VLC Media Player sei seit Version 3.0.3 sicher, weil er seitdem mit der reparierten libebml ausgeliefert werde. Videolan wirft den MITRE-Sicherheitsforschern, die die Lücke gemeldet haben, vor, dass diese nicht nachgeprüft hätten, ob die Lücke nur die veraltete Version von libebml und VLC betreffen würde. Die Sicherheitsforscher hätten die Lücke zudem auf Ubuntu 18.04 ausprobiert. Das sei laut Videolan eine veraltete Linux-Version, die veraltete Bibliotheken nutzen würde. Allerdings trifft dieser Vorwurf nicht ganz zu, denn bei Ubuntu 18.04 handelt es sich um eine LTS-Version, für die es für jeden Nutzer mindestens fünf Jahre lang Sicherheits-Updates geben wird und für professionelle, zahlende Nutzer sogar zehn Jahre lang.
MITRE habe dann ein Common Vulnerabilities and Exposures (CVE) dazu veröffentlicht, ohne Videolan dazu zu befragen. Videolan beklagt sich, dass das MITRE in der Vergangenheit schon öfter derart vorgeprescht sei. CERT Bund beziehungsweise das BSI seien dann auf den fahrenden Zug aufgesprungen und haben ebenfalls eine Sicherheitswarnung ausgesprochen. Auch CERT Bund habe weder die Lücke nachgeprüft noch Videolan kontaktiert.
Mittlerweile hat CERT Bund seine Einstufung der Lücke zunächst auf “mittel” und mittlerweile sogar auf „niedrig“ korrigiert. Die Neuanalyse der Lücke dauert noch an.
Videolan hat zu der Lücke ein Ticket angelegt, in dem festgestellt wird, dass diese Lücke die aktuelle Version 3.0.7.1 nicht abstürzen lassen kann. Update Ende
Ursprüngliche Meldung: Im beliebten und weit verbreiteten VLC Media Player 3.0.7.1 von Videolan steckt eine ernste Sicherheitslücke. Davor warnen CERT Bund und das Bundesamt für Sicherheit in der Informationstechnologie (BSI).
Wörtlich steht bei CERT Bund: „Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial-of-Service-Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren.“ Ein ausführliche Beschreibung der Lücke finden Sie auch hier. Den entsprechenden Hinweis des BSI wiederum können Sie auf dieser Seite nachlesen. Er stammt vom 14. Juni 2019. So lange weiß Videolan also offensichtlich schon Bescheid. Die Sicherheitslücke kann ein Angreifer aus der Ferne ausnutzen, indem er einen Pufferüberlauf (Buffer Overflow) verursacht. Pufferüberläufe sind eine geradezu klassische Angriffsmöglichkeit für Hacker und nutzen Programmierfehler aus. Die Schwachstelle steckt in der aktuellen Version des Videoplayers für Windows und Linux. Die weite Verbreitung von VLC Media Player macht diese Schwachstelle so brisant. Denn der VLC Media Player ist wegen seines großen Funktionsumfangs auf unzähligen Rechnern installiert.
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.