Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist.
Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist. So eröffnete ein Bugreporter wohl einen Fehler auf ihrer Bugtrackerseite über eine Sicherheitslücke in einer 3rd Party-Library namens “libebml“.
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
VLC Media Player doch nicht gefährdet?
Vor vier Wochen wurde die Meldung erstellt, der den VLC Media Player wohl zum Abstürzen bringen soll. Bei der Sicherheitslücke handelt es sich laut der Meldung der Bugtrackerseite um einen Heap Buffer Overflow. Die Sicherheitslücke soll wohl einem Angreifer ermöglichen, eine Remote Code Execution (in BSI Worten: das Ausführen eines beliebigen Programmcodes) auszuführen. Nach eigenen Angaben von VideoLAN konnten sie die Sicherheitslücke wohl nicht reproduzieren. So kontaktierten sie den Reporter des Bugs, dieser antwortete aber bis heute nicht.
Der Melder der Sicherheitslücke “topsec(zhangwy)”, soll nach Angaben von VideoLAN wohl Ubuntu 18.04 dabei genutzt haben. Und dabei keine aktuellen Libraries nutzen.
The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.
But did not answer to our questions.
— VideoLAN (@videolan) July 24, 2019
MITRE verstößt gegen eigene Policies
Es soll wohl nicht das erste Mal sein, dass Mitre einfach einen neuen CVE anlegt, ohne vorher VideoLAN zu kontaktieren und somit gegen ihre eigenen policies (Richtlinien) verstößt.
For whatever reason, unknown to us,
@MITREcorp decided to issue a CVE, without talking to us.This is in direct violation of their own policies, https://t.co/yyDhK6Ls3u
pic.twitter.com/8AZWpimNBC— VideoLAN (@videolan)
Libebml Entwickler äußern sich dazu
Selbst die Entwickler von der 3rd Party Library libebml haben sich dazu geäußert. So heißt es in einer offiziellen Twitter-Mitteilung, dass die Sicherheitslücke in der Library wohl schon seit der Version 1.36, welche am 20. April 2018 veröffentlicht wurde, längst behoben sei.
Somit wurde von den Medien die Meldung ungeprüft aufgenommen und verbreitet. Auf die Spitze trieb es diesmal “Gizmodo.com” mit der Aufforderung, dass man den VLC Media Player deinstallieren sollte.
Foto Mudassar Iqbal, thx! (Pixabay Lizenz)
Tarnkappe.info