VLC Media Player Sicherheitslücke nicht reproduzierbar [Update: Es ist keine]

Die Tage ging die Meldung durch die Medien, dass der VLC Media Player 3.0.7.1 eine Sicherheitslücke (CVE-2019-13615) hat, die Remotecodeausführung zulassen kann. In den Tagen hat das VLC-Team sich auf gut deutsch die Zähne ausgebissen. Denn die beschriebene Lücke ist nicht nachvollziehbar.

Jean-Baptiste Kempf und auch andere hatten es versucht in der 3.0.7.1, 3.0.6 und auch 4.0.0-20190723-0832 Nightly. Ohne Ergebnis. Auf Twitter haben sie dann einmal Dampf abgelassen.

Das Problem ist, dass die Medien über diese Sicherheitslücke nun schon berichtet und somit dem VLC einen Imageschaden zugefügt haben. Kurzzeitig war schon ein VLC 3.0.8 auf dem FTP. Aber der wurde sehr schnell wieder zurückgezogen.

Aber auch wenn diese Lücke (CVE-2019-13615) nicht reproduzierbar ist, sollte man trotzdem immer vorsichtig sein. Denn jedes Video, welches man aus dem Netz lädt kann bearbeitet sein. Hier reicht aber eine „Schippe“ Verstand und muss nicht gleich in Panik ausbrechen, oder sogar den VLC deinstallieren. Denn auch jeder andere Player kann eine Lücke enthalten.

Warten wir mal ab, wie es sich weiter entwickelt.

[Update 13.00 Uhr] VideoLAN hat sich nun auf Twitter noch einmal geäußert. „Über das „Sicherheitsproblem“ auf #VLC : VLC ist nicht anfällig. tl;dr: Das Problem liegt in einer 3rd-Party-Bibliothek, genannt libebml, die vor mehr als 16 Monaten behoben wurde. VLC seit Version 3.0.3 hat die richtige Version ausgeliefert, und @MITREcorp hat nicht einmal ihren Schadensfall überprüft.

VLC Media Player Sicherheitslücke nicht reproduzierbar [Update: Es ist keine]
weitere Artikel zu diesem Thema
zu den aktuellen News

3 Kommentare zu “VLC Media Player Sicherheitslücke nicht reproduzierbar [Update: Es ist keine]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.