Die Tage ging die Meldung durch die Medien, dass der VLC Media Player 3.0.7.1 eine Sicherheitslücke (CVE-2019-13615) hat, die Remotecodeausführung zulassen kann. In den Tagen hat das VLC-Team sich auf gut deutsch die Zähne ausgebissen. Denn die beschriebene Lücke ist nicht nachvollziehbar.
Jean-Baptiste Kempf und auch andere hatten es versucht in der 3.0.7.1, 3.0.6 und auch 4.0.0-20190723-0832 Nightly. Ohne Ergebnis. Auf Twitter haben sie dann einmal Dampf abgelassen.
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly…
— VideoLAN (@videolan) 23. Juli 2019
VLC "critical flaw" is vapor at the moment, doesn't repro at all in 3.0.6, 3.0.7+, or nightly 4.0 release on Windows or other platforms. Tech media is terrible sometimes. (TechRadar, Gizmodo, Inq., etc.)
— Rafael Rivera (@WithinRafael) 24. Juli 2019
Das Problem ist, dass die Medien über diese Sicherheitslücke nun schon berichtet und somit dem VLC einen Imageschaden zugefügt haben. Kurzzeitig war schon ein VLC 3.0.8 auf dem FTP. Aber der wurde sehr schnell wieder zurückgezogen.
Aber auch wenn diese Lücke (CVE-2019-13615) nicht reproduzierbar ist, sollte man trotzdem immer vorsichtig sein. Denn jedes Video, welches man aus dem Netz lädt kann bearbeitet sein. Hier reicht aber eine “Schippe” Verstand und muss nicht gleich in Panik ausbrechen, oder sogar den VLC deinstallieren. Denn auch jeder andere Player kann eine Lücke enthalten.
Warten wir mal ab, wie es sich weiter entwickelt.
[Update 13.00 Uhr] VideoLAN hat sich nun auf Twitter noch einmal geäußert. “Über das “Sicherheitsproblem” auf #VLC : VLC ist nicht anfällig. tl;dr: Das Problem liegt in einer 3rd-Party-Bibliothek, genannt libebml, die vor mehr als 16 Monaten behoben wurde. VLC seit Version 3.0.3 hat die richtige Version ausgeliefert, und @MITREcorp hat nicht einmal ihren Schadensfall überprüft.
Ich glaub nicht dass der Player dadurch viel Imageschaden hat.
Vergleichbar gibt es fast nichts besseres und nur weil mal eine Sicherheitslücke vorhanden ist, heißt es ja nicht dass es am morgen gleich überall auf den Plattformen Videos gibt, die diese ausnutzen. Vor allem bei seriösen Seiten würde es lang dauern. Man weiß doch welche Videos man wo anklickt oder ansehen will. Schau ich mir mal Seiten an, die nicht “hasenrein” sind oder im “graubereich” liegen, dann ist es sowieso immer klüger eine VM dafür zu benutzen!
Kein Mensch will genau wissen, wieviele Lücken der Windows MediaPlayer z.B. mit sich schleppt oder Jahrelang nie ausgebessert wurden.
Danke für die Info. VLC wurde deinstalliert. Panik ist verbreitet und wir brennen die Straßen nieder.
Aber mal im Ernst eigentlich frage ich mich warum ich den VLC noch installiert habe wo ich ihn doch nie nutze? Ist so ne Gewohnheit… System aufsetzen dann vlc drauf und nie nutzen…
Wer in der IT arbeitet und solche Meldungen vom BSI liest weiß genau wofür Sie gut sind! Als Thema zum lachen mit den Kollegen der IT