Derzeit macht die Meldung die Runde, dass eine Sicherheitslücke den VLC und auch andere Video Player wie MPlayer kompromittiert. Gemeldet wurde diese Lücke unter der ID CVE-2018-4013. Dies ist aber nicht ganz korrekt. Denn wie Ross Finlayson (Autor der LIVE555-Software) betrifft es nur die Bibliothek in der RTSP (Server Code)
"Der Fehler – der nun in der LIVE555-Bibliothek behoben wurde (mit dem bereits an Cisco gemeldeten Fix) – betraf nur die Implementierung eines RTSP *Servers* durch die LIVE555-Bibliothek. Es hat keinen Einfluss auf die Implementierung eines RTSP *Client*, der der einzige Teil der LIVE555-Bibliothek ist, den VLC und MPlayer verwenden. (VLC hat einen eingebetteten RTSP-Server, aber der verwendet eine separate Implementierung, nicht LIVE555’s.)"
Also alles halb so schlimm, auch wenn es schlimm ist. Denn eine Lücke kann immer ausgenutzt werden. So wie diese auch. Gemeldet hatte den Fehler talosintelligence. Nur wie schon gesagt, ist der Fehler nicht in der Software der Media Player, wie z.B. im VLC VideoLAN. Der Fehler selber wurde in der Bibliothek inzwischen aber behoben.
Quelle: it.slashdot.org
via: @hanno
“VLC” Sicherheitslücke betrifft nur den RTSP “Servers” in der LIVE555-Bibliothek nicht den Player selber
Das betrifft nur Leute, die Server für das RTSP-Streaming selbst programmieren und dafür die Bibliothek live555 nutzen.
Oder Leute, welche auf diversen Betriebssystemen Media-Server mit der live555-Bibliothek verwenden.
zudem solls mit der Version vlc 3.0.4 (10-8-2018) nicht mehr relevant/gefixt sein. Wie auch immer das mit dem Datum, Meldung im Oktober, zusammenpasst(?!)…