VideoLAN, VLC Media Player
VideoLAN, VLC Media Player

VLC Media Player: Sicherheitslücke längst behoben

Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist.

Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist. So eröffnete ein Bugreporter wohl einen Fehler auf ihrer Bugtrackerseite über eine Sicherheitslücke in einer 3rd Party-Library namens „libebml„.  

VLC Media Player doch nicht gefährdet?

Vor vier Wochen wurde die Meldung erstellt, der den VLC Media Player wohl zum Abstürzen bringen soll. Bei der Sicherheitslücke handelt es sich laut der Meldung der Bugtrackerseite um einen Heap Buffer Overflow. Die Sicherheitslücke soll wohl einem Angreifer ermöglichen, eine Remote Code Execution (in BSI Worten: das Ausführen eines beliebigen Programmcodes) auszuführen. Nach eigenen Angaben von VideoLAN konnten sie die Sicherheitslücke wohl nicht reproduzieren. So kontaktierten sie den Reporter des Bugs, dieser antwortete aber bis heute nicht.
Der Melder der Sicherheitslücke „topsec(zhangwy)“, soll nach Angaben von VideoLAN wohl Ubuntu 18.04 dabei genutzt haben. Und dabei keine aktuellen Libraries nutzen.

MITRE verstößt gegen eigene Policies

vlc videolan ip-leak Es soll wohl nicht das erste Mal sein, dass Mitre einfach einen neuen CVE anlegt, ohne vorher VideoLAN zu kontaktieren und somit gegen ihre eigenen policies (Richtlinien) verstößt.

Libebml Entwickler äußern sich dazu

Selbst die Entwickler von der 3rd Party Library libebml haben sich dazu geäußert. So heißt es in einer offiziellen Twitter-Mitteilung, dass die Sicherheitslücke in der Library wohl schon seit der Version 1.36, welche am 20. April 2018 veröffentlicht wurde, längst behoben sei.
Somit wurde von den Medien die Meldung ungeprüft aufgenommen und verbreitet. Auf die Spitze trieb es diesmal „Gizmodo.com“ mit der Aufforderung, dass man den VLC Media Player deinstallieren sollte. Foto Mudassar Iqbal, thx! (Pixabay Lizenz) Tarnkappe.info