Update 25.07.2019: Medienberichten und einem Twitter-Beitrag des VideoLAN-Teams zufolge besteht doch keine kritische Sicherheitslücke in der aktuellen Version des VLC Players. Stattdessen soll es sich um ein bereits vor 16 Monaten behobenes Problem mit einer externen Medienbibliothek handeln, die seit Version 3.0.3. nicht mehr vom VLC Player verwendet wird.
Das CERT und das BSI haben inzwischen auf die neuen Erkenntnisse reagiert und die Warnstufe deutlich entschärft: Statt der zweithöchsten Stufe ist jetzt nur noch die Stufe »Niedrig« aufgeführt.
Ursprüngliche Meldung: Der VLC Media Player ist aufgrund seiner Fähigkeit, viele Formate auf vielen Systemen abzuspielen, sehr beliebt und wurde inzwischen mehr als drei Milliarden Mal heruntergeladen.
Die weit verbreitete Software soll in der neuesten Version 3.0.7.1 jedoch eine kritische Sicherheitslücke enthalten, die dazu geführt hat, dass das deutsche Computer Emergency Response Team (CERT) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu raten, lieber einen anderen Media-Player zu verwenden, bis der Fehler behoben wurde.
Einfacher Angriff auf Daten und Schadcode-Ausführung
Das BSI schreibt:
"Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren."
Das CERT führt den Fehler als CB-K19/0634 mit einem Risiko der Stufe 4, der zweithöchsten Stufe überhaupt.
Das Problem tritt unter Windows, Linux und Unix auf und soll laut der US-amerikanischen National Vulnerability Database (NVU) von einem Angreifer keine besonderen Rechte erfordern und außerdem recht einfach ausgenutzt werden können.
Entwickler arbeiten seit 4 Wochen daran
Die Entwickler des VLC Media Players arbeiten laut einem Support-Ticket schon seit rund vier Wochen ein einer Behebung des Fehlers, doch bislang ist eine mögliche Fehlerbehebung erst zu 60 Prozent fertiggestellt. Eine ungefähre Zeit bis zu einer Veröffentlichung gibt es noch nicht, sodass das Problem wohl noch längere Zeit bestehen bleiben wird.
Immerhin gibt es auch noch keine Hinweise darauf, dass die Sicherheitslücke aktiv ausgenutzt wird, doch nachdem nun davor gewarnt wurde, könnte sich das aufgrund der Einfachheit des Angriffs relativ bald ändern. Daher wäre ein temporärer Umstieg auf einen anderen Player aktuell in jedem Fall ratsam.
1:59
The Witcher - Der erste Trailer zur Netflix-Serie ist da
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.