Warnung vor kritischer Sicherheitslücke im VLC Media Player, aktuelle Version nicht betroffen

Update: Korrigierte Einstufung und Statement der Entwickler.

News von Benjamin Jakobs Leitender Redakteur News

Aktualisiert am 25. Juli 2019

Update (25.07.2019): Nach Angaben von VLC-Entwickler VideoLAN ist nicht der Player selbst davon betroffen, vielmehr gehe es um eine Sicherheitslücke in der Software-Bibliothek "libebml", die von einem Drittanbieter stammt.

Man habe dieses Problem schon vor rund anderthalb Jahren mit der VLC-Version 3.0.3 behoben. Der amerikanischen MITRE Corporation wirft man indes vor, keinen Kontakt zu den Entwicklern gesucht zu haben, womit man (nicht zum ersten Mal) gegen die eigenen Richtlinien verstoße.

Heißt: Die aktuelle Fassung des VLC-Players ist bei der Nutzung dieser speziellen Software-Bibliothek von dem Problem nicht betroffen und auch das CERT hat sich inzwischen korrigiert. Das Risiko wird nicht mehr als "hoch", sondern als "niedrig" eingestuft.

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:
— VideoLAN (@videolan) July 24, 2019

Quelle: Computerbase

Originalmeldung (24.07.2019): Der ein oder andere von euch verwendet vermutlich den VLC Media Player.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) warnen aktuell vor einer schweren Sicherheitslücke im Programm.

Betroffen ist die Version 3.0.7.1 des VLC Media Players für Linux, macOS und Windows, man spricht von einem "hohen" Risiko.

Aktuell ist Vorsicht bei der Nutzung des VLC Media Players geboten.

Die Schwachstelle macht das Ausführen eines beliebigen Codes ohne spezielle Zugriffsrechte oder Interaktionen des Nutzers möglich. Dadurch könne "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden", schreibt das CERT.

Ursache ist ein Fehler im MKV-Modul des Players. Es dient dazu, Dateien mit den Endungen .mka, .mkv, .mgs und .mk3d abzuspielen.

Wie das CERT betont, ist unklar, ob auch ältere Versionen betroffen sind und wie lange der Fehler möglicherweise schon vorhanden ist.

Den Entwicklern des VLC Media Players ist die Schwachstelle seit rund einem Monat bekannt, man arbeite mit "höchster Priorität" an einer neuen Version. Wann diese erscheint, ist unklar.

Quelle: BSI, CERT, Spiegel Online

Read this next