VLC Player - Vermeintliche Sicherheitslücke ist wohl doch keine

Das deutsche Computer Emergency Response Team (CERT) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben wohl zu Unrecht vor dem VLC Media Player gewarnt.

von Georg Wieselsberger,
25.07.2019 18:38 Uhr

Eine vermeintliche Sicherheitslücke im VLC Player hat sich inzwischen als veraltetes Problem mit einer Medienbibliothek erwiesen.Eine vermeintliche Sicherheitslücke im VLC Player hat sich inzwischen als veraltetes Problem mit einer Medienbibliothek erwiesen.

Update 25.07.2019: Medienberichten und einem Twitter-Beitrag des VideoLAN-Teams zufolge besteht doch keine kritische Sicherheitslücke in der aktuellen Version des VLC Players. Stattdessen soll es sich um ein bereits vor 16 Monaten behobenes Problem mit einer externen Medienbibliothek handeln, die seit Version 3.0.3. nicht mehr vom VLC Player verwendet wird.

Das CERT und das BSI haben inzwischen auf die neuen Erkenntnisse reagiert und die Warnstufe deutlich entschärft: Statt der zweithöchsten Stufe ist jetzt nur noch die Stufe »Niedrig« aufgeführt.

Ursprüngliche Meldung: Der VLC Media Player ist aufgrund seiner Fähigkeit, viele Formate auf vielen Systemen abzuspielen, sehr beliebt und wurde inzwischen mehr als drei Milliarden Mal heruntergeladen.

Die weit verbreitete Software soll in der neuesten Version 3.0.7.1 jedoch eine kritische Sicherheitslücke enthalten, die dazu geführt hat, dass das deutsche Computer Emergency Response Team (CERT) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu raten, lieber einen anderen Media-Player zu verwenden, bis der Fehler behoben wurde.

Einfacher Angriff auf Daten und Schadcode-Ausführung

Das BSI schreibt:

"Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren."

Das CERT führt den Fehler als CB-K19/0634 mit einem Risiko der Stufe 4, der zweithöchsten Stufe überhaupt.

Das Problem tritt unter Windows, Linux und Unix auf und soll laut der US-amerikanischen National Vulnerability Database (NVU) von einem Angreifer keine besonderen Rechte erfordern und außerdem recht einfach ausgenutzt werden können.

Entwickler arbeiten seit 4 Wochen daran

Die Entwickler des VLC Media Players arbeiten laut einem Support-Ticket schon seit rund vier Wochen ein einer Behebung des Fehlers, doch bislang ist eine mögliche Fehlerbehebung erst zu 60 Prozent fertiggestellt. Eine ungefähre Zeit bis zu einer Veröffentlichung gibt es noch nicht, sodass das Problem wohl noch längere Zeit bestehen bleiben wird.

Immerhin gibt es auch noch keine Hinweise darauf, dass die Sicherheitslücke aktiv ausgenutzt wird, doch nachdem nun davor gewarnt wurde, könnte sich das aufgrund der Einfachheit des Angriffs relativ bald ändern. Daher wäre ein temporärer Umstieg auf einen anderen Player aktuell in jedem Fall ratsam.

The Witcher - Der erste Trailer zur Netflix-Serie ist da 1:59 The Witcher - Der erste Trailer zur Netflix-Serie ist da


Kommentare(98)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen