Update 24. Juli 2019, 13:15 Uhr:

Die schwerwiegende Sicherheitslücke (siehe ursprünglichen Artikel, unten), vor der die deutschen Bundesorganisationen BSI und CERT gewarnt hatten, ist offenbar entweder weit weniger schlimm, als zunächst behauptet, oder sogar auf den allermeisten Systemen überhaupt nicht existent.

Die VideoLAN-Entwickler halten sowohl in ihren Kommentaren im Bugtracker als auch auf Twitter daran fest, dass sie die angebliche Sicherheitslücke nicht reproduzieren können. Schuld sei eine externe (also nicht von VideoLAN stammende) Software-Bibliothek namens libebml, die jedoch vor über einem Jahr (libebml Version 1.3.6) bereits gepatcht worden sei. Es handelt sich dabei um die Matroska-Library, die zum Abspielen von .mkv-Videos benutzt wird.

Seit Version 3.0.3 des VLC Media Players werde die korrekte, reparierte Version dieser Bibliothek ausgeliefert:

About the "security issue" on #VLC : VLC is not vulnerable.

tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.

VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.



— VideoLAN (@videolan) July 24, 2019