News 24.07.2019, 11:30 Uhr

Angeblich «kritische» Lücke im VLC-Player offenbar nur halb so wild

BSI und CERT hatten vor einer kritischen Sicherheitslücke im VLC Media Player gewarnt, sogar mit der Empfehlung, das Programm zu deinstallieren. Nun entpuppt sich die Warnung als Sturm im Wasserglas.
Update 24. Juli 2019, 13:15 Uhr:

Lücke im VLC Media Player nur halb so wild

Die schwerwiegende Sicherheitslücke (siehe ursprünglichen Artikel, unten), vor der die deutschen Bundesorganisationen BSI und CERT gewarnt hatten, ist offenbar entweder weit weniger schlimm, als zunächst behauptet, oder sogar auf den allermeisten Systemen überhaupt nicht existent.
Die VideoLAN-Entwickler halten sowohl in ihren Kommentaren im Bugtracker als auch auf Twitter daran fest, dass sie die angebliche Sicherheitslücke nicht reproduzieren können. Schuld sei eine externe (also nicht von VideoLAN stammende) Software-Bibliothek namens libebml, die jedoch vor über einem Jahr (libebml Version 1.3.6) bereits gepatcht worden sei. Es handelt sich dabei um die Matroska-Library, die zum Abspielen von .mkv-Videos benutzt wird. 
Seit Version 3.0.3 des VLC Media Players werde die korrekte, reparierte Version dieser Bibliothek ausgeliefert:
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
— VideoLAN (@videolan) July 24, 2019

Alles Folge eines Irrtums?

Zurzeit sieht es so aus, als habe der Fehler mit der möglichen Remote-Code-Ausführung lediglich auf einem Computer mit einem älteren Ubuntu 18.04 gezeigt werden können. Auf diesem war offenbar die (nicht von VideoLAN stammende) Software-Komponente libebml noch in der verwundbaren Version vorhanden.
Jean-Baptiste Kempf, der Chef-Entwickler bei VideoLAN, in seinem vorläufig letzten Kommentar im Bugtracker: «Merke: Wenn du eine Sicherheitslücke meldest, update wenigstens vorher deine Linux-Distribution.»
Nachtrag: Das Matroska-Team, die Entwickler der betroffenen Software-Library libebml bestätigt auch uns gegenüber: Unter Windows wird die Library nie separat installiert, sondern ist immer Bestandteil der mit VLC Media Player installierten Programmdateien. Die verwundbare Version der Library war in VLC 3.0.2 enthalten. Wer also mindestens die VLC-Version 3.0.3 (aktuell ist 3.0.7.1!) installiert hat, der muss automatisch auch die reparierte Version der betroffenen Library haben.
On Windows there isn't it's always embedded in the software (VLC or mkvtoolnix). On Linux it depends on your distribution and what package manager is used.
— Matroska.org (@MatroskaOrg) July 24, 2019
PCtipp empfiehlt: Ein Deinstallieren des VLC Media Players ist nicht nötig. Prüfen Sie den VLC Media Player sowie Ihr Betriebssystem gelegentlich nach Updates. Öffnen Sie im VLC das Menü Hilfe. Hier lässt sich im Menüpunkt Über die aktuelle VLC-Version anschauen und es gibt auch den Befehl Nach Aktualisierungen suchen
Ursprünglicher Artikel:

BSI warnt vor kritischer Lücke im VLC-Player

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen Sicherheitslücke im VLC Player. Angreifer haben durch das Leck die Möglichkeit, beliebigen Code auf infizierten Rechnern auszuführen. Nutzer des Open-Source-Programms sollten sich laut BSI dringend nach einer Alternative umsehen.
Auch das Computer Emergency Response Team (CERT) des Bundes warnt vor der Gefahr. Die Version 3.0.7.1 des beliebten Media Players VLC Player weise eine schwerwiegende Schwachstelle auf. Diese ermögliche Remote-Attacken auf die Systeme der Opfer. Hacker könnten damit beliebigen Code aufspielen und ausführen. Betroffen seien Nutzer der Plattformen Windows, Linux sowie Unix.
Während die deutschen Behörden aus Sicherheitsgründen darauf verzichten, die Schwachstelle näher zu beschreiben, stellt die «National Vulnerability Database» der USA mehr Informationen dazu bereit.

Angriffsvektor mit niedriger Komplexität

Auch die USA stufen die Lücke im VLC Media Player als kritisch ein, da zu deren Ausnutzung explizite Zugriffsrechte für die Hacker benötigt werden. Laut den Experten weist der Angriffsvektor eine niedrige Komplexität auf. Eine Interaktion mit der Software auf dem betroffenen System vonseiten des Nutzers ist nicht erforderlich.
Auch VLC beziehungsweise die zuständigen Entwickler von VideoLAN haben sich des Problems angenommen. Wann ein Sicherheits-Update ansteht, ist noch nicht bekannt. Allerdings ist bisher auch noch kein Fall bekannt, in dem die Lücke tatsächlich ausgenutzt wurde. Bis ein entsprechendes Update bereitsteht, ist allerdings dringend davon abzuraten, den VLC Media Player zu verwenden. Nutzer sollten sich besser nach einer alternativen Lösung umsehen, so auch das BSI.



Kommentare
Es sind keine Kommentare vorhanden.