BSI warnt vor VLC Media Player
Aufgrund seiner Quelloffenheit, ist VLC einer der beliebtesten Mediaplayer. Doch in der Software schlummert eine schwerwiegende Sicherheitslücke, die noch nicht geschlossen wurde - weshalb man sich aktuell nach einer Alternative umschauen sollte.
Update vom 24. Juli, 15:30 Uhr:
Die VLC-Entwickler haben auf Twitter geschrieben, dass es keine Sicherheitslücke in VLC gebe. Das Problem liege in einer von VLC verwendeten Bibliothek - sei in dieser jedoch geschlossen, gegebenenfalls braucht man hier also die aktuelle Version. CERT-Bund hat die Meldung mittlerweile ebenfalls angepasst und auf Risikostufe 2 oder "niedrig" heruntergestuft.
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) July 24, 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
Der vom CERT des Bundesamtes für Sicherheit in der Informationstechnik gemeldete Sicherheitslücke in VLC 3.0.7.1 wird mit der Risikostufe 4 oder "hoch" (gelistet als CVE-2019-13615 mit Score 9,8 "kritisch") bewertet. Die Schwachstelle ermöglicht es Angreifern, Code aus der Ferne auszuführen. Das kann für eine Denial-of-Service-Attacke genutzt werden, aber auch, um Dateien zu manipulieren und Informationen auszulesen.
Es sieht so aus, als sei die Schwachstelle bisher nicht ausgenutzt worden. Betroffen sind laut der Meldung die VLC-Versionen für Windows, Linux und Unix - macOS ist ausgenommen. Mobile Betriebssysteme werden in der Sicherheitsmeldung ebenfalls nicht erwähnt.
VideoLAN ist sich des Problems bewusst und arbeitet bereits an einem Patch. Der ist aber noch nicht verfügbar. Das bedeutet, dass die einzige Schutzmaßnahme darin besteht, in der Zwischenzeit auf eine Alternative auszuweichen.
Verwendet Ihr VLC? Werdet Ihr die Software jetzt deinstallieren?
Ich sehe keinen Grund den VLC-Player nicht zu benutzen oder gar zu deinstallieren. Hinter all den Meldungen bezüglich Sicherheitslücken steckt viel Panikmache und Übertreibung.
Selbst wenn da eine Lücke sein sollte, müsste ein vermeindlicher Angreifer das auch noch mitbekommen. Mit entsprechender Sicherheitssoftware mach ich mir aber über sowas keine Gedanken. Wer seine Geräte nur mit Freeware schützt ist selber schuld, wenn mal was nicht so gut läuft.
Für mich gibt es zum VLC-Player keine passende Alternative und das wofür ich den Player einsetze, sind private Videos, die bestimmt nicht manipuliert sind. :)
Bevorzuge eh meinen Samsung Player. Und vlc lösche ich erstmal.
-
Admin
26.07.2019 Link zum Kommentar....und WhatsApp, Google, Instagram, facebook sicherheitshalber auch löschen.
-
Admin
24.07.2019 Link zum Kommentar"Eine VLC-Lücke, die keine ist"
https://www.golem.de/news/videolan-eine-vlc-luecke-die-keine-ist-1907-142758.html
Thank's for the News... Aber die Welt wird sich morgen noch drehen oder?
Ich habe es getestet. Sie dreht sich noch.
Das freut mich ☀️😎
Ich hab auf meinem Mate 7 2.5.5. also alt.
mein VLC lautet 3.1.7
da sollte das doch bereits behoben sein , nä ? oder betrifft es diese Version AUCH ?
Ja, VLC ist seit Jahren mein Medienplayer.
Solange die Mediendateien vertrauenswürdig sind, ist die Sicherheitslücke kein Problem. Streamen würde ich aktuell lieber nicht mit dem VLC, aber Streaming ist für mich ohnehin noch immer untergeordnet. Neue Dateien aus dem Internet laden und lokal abspielen kann auch zum Problem werden, genauso wie Dateien, die man bereits hat und die böses enthalten, ohne dass man es weiß. Aber dann könnte das Kind schon in den Brunnen gefallen sein.
Wäre schön wenn ihr erwähnen würdet was notwendig ist um die Lücke ausnutzen zu können. Einfach so werden die Hacker wohl kaum Zugriff auf den Rechner haben.
Wenn man jede Software deinstallieren würde, weil sie aktuell eine ungepatchte Sicherheitslücke enthält, bliebe nicht viel übrig.
BTW: Bei der verlinkten BSI Kurzinfo ist das Risiko mit 2 (niedrig) angegeben.
"Wenn man jede Software deinstallieren würde, weil sie aktuell eine ungepatchte Sicherheitslücke enthält, bliebe nicht viel übrig."
nicht viel? egal welches 'OS du druf hast, du müsstest unter anderem genau das runterwerfen nur das du ohne OS nur noch nen Briefbeschwerer hättest.
Wäre nicht schlecht wenn man noch dazu schreibt um welche Versionsnummer des VLC Players es geht! 😉
3.0.7.1. Wir haben es nachgetragen. :)
3.0.7.1 - findet man in den verlinkten Infos.
Wenn es keinen Patch gibt, muss es sich zwangsläufig um die aktuelle Version handeln.
Ob auch ältere Versionen betroffen sind, hat auch das BSI nicht angegeben.
Edit: da war ich aber ziemlich langsam beim schreiben.