Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist.
About the „security issue“ on #VLC : VLC is not vulnerable. tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago. VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread: — VideoLAN (@videolan) July 24, 2019
VLC Media Player doch nicht gefährdet?
Vor vier Wochen wurde die Meldung erstellt, der den VLC Media Player wohl zum Abstürzen bringen soll. Bei der Sicherheitslücke handelt es sich laut der Meldung der Bugtrackerseite um einen Heap Buffer Overflow. Die Sicherheitslücke soll wohl einem Angreifer ermöglichen, eine Remote Code Execution (in BSI Worten: das Ausführen eines beliebigen Programmcodes) auszuführen. Nach eigenen Angaben von VideoLAN konnten sie die Sicherheitslücke wohl nicht reproduzieren. So kontaktierten sie den Reporter des Bugs, dieser antwortete aber bis heute nicht.The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.
But did not answer to our questions. — VideoLAN (@videolan) July 24, 2019
MITRE verstößt gegen eigene Policies
Es soll wohl nicht das erste Mal sein, dass Mitre einfach einen neuen CVE anlegt, ohne vorher VideoLAN zu kontaktieren und somit gegen ihre eigenen policies (Richtlinien) verstößt.For whatever reason, unknown to us, @MITREcorp decided to issue a CVE, without talking to us.
This is in direct violation of their own policies, https://t.co/yyDhK6Ls3u pic.twitter.com/8AZWpimNBC — VideoLAN (@videolan)