VLC Media Player: Sicherheitslücke längst behoben

25.7.19 10:05 von Bill Lesezeit: 2 Min.

Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist.

Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist. So eröffnete ein Bugreporter wohl einen Fehler auf ihrer Bugtrackerseite über eine Sicherheitslücke in einer 3rd Party-Library namens „libebml„.

About the „security issue“ on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

— VideoLAN (@videolan) July 24, 2019

VLC Media Player doch nicht gefährdet?

Vor vier Wochen wurde die Meldung erstellt, der den VLC Media Player wohl zum Abstürzen bringen soll. Bei der Sicherheitslücke handelt es sich laut der Meldung der Bugtrackerseite um einen Heap Buffer Overflow. Die Sicherheitslücke soll wohl einem Angreifer ermöglichen, eine Remote Code Execution (in BSI Worten: das Ausführen eines beliebigen Programmcodes) auszuführen. Nach eigenen Angaben von VideoLAN konnten sie die Sicherheitslücke wohl nicht reproduzieren. So kontaktierten sie den Reporter des Bugs, dieser antwortete aber bis heute nicht.

Der Melder der Sicherheitslücke „topsec(zhangwy)“, soll nach Angaben von VideoLAN wohl Ubuntu 18.04 dabei genutzt haben. Und dabei keine aktuellen Libraries nutzen.

The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.

But did not answer to our questions.

— VideoLAN (@videolan) July 24, 2019

MITRE verstößt gegen eigene Policies

Es soll wohl nicht das erste Mal sein, dass Mitre einfach einen neuen CVE anlegt, ohne vorher VideoLAN zu kontaktieren und somit gegen ihre eigenen policies (Richtlinien) verstößt.

For whatever reason, unknown to us,
@MITREcorp decided to issue a CVE, without talking to us.

This is in direct violation of their own policies, https://t.co/yyDhK6Ls3u
pic.twitter.com/8AZWpimNBC

— VideoLAN (@videolan)

Libebml Entwickler äußern sich dazu

Selbst die Entwickler von der 3rd Party Library libebml haben sich dazu geäußert. So heißt es in einer offiziellen Twitter-Mitteilung, dass die Sicherheitslücke in der Library wohl schon seit der Version 1.36, welche am 20. April 2018 veröffentlicht wurde, längst behoben sei.

Somit wurde von den Medien die Meldung ungeprüft aufgenommen und verbreitet. Auf die Spitze trieb es diesmal „Gizmodo.com“ mit der Aufforderung, dass man den VLC Media Player deinstallieren sollte.

Foto Mudassar Iqbal, thx! (Pixabay Lizenz)

Tarnkappe.info

Junge Frau mit neuer Rufnummer ist plötzlich im WhatsApp-Konto einer fremden Person (Symbolbild)

Diese WhatsApp-Sicherheitslücke wird wohl niemals geschlossen

Durch eine seit Jahren bekannte Sicherheitslücke lassen sich fremde WhatsApp-Konten einfach übernehmen. Meta sieht die Schuld bei anderen.

Die Webseite von Grand Theft Auto Online

Grand Theft Auto 5 für PC ermöglicht die Ausführung von Remotecode

Wer gerne die PC-Version von Grand Theft Auto 5 spielt, muss aufpassen. Denn ein Exploit erlaubt es Angreifern auf euren Account zuzugreifen.

ChromeOS Schwachstelle durch Microsoft aufgedeckt

ChromeOS: Kritische Sicherheitslücke von Microsoft aufgedeckt

Durch eine Sicherheitslücke in Googles ChromeOS ließ sich beliebiger Schadcode aus der Ferne auf Chromebooks ausführen.

Ein Notebook, das per Secure Boot gesichert ist, installiert ein Windows-Update (Symbolbild)

Secure Boot unter Windows: Microsoft schließt Lücke erst in 2024

Denn die Folge wären unzählige Windows-Bootmedien, die mit Secure Boot nicht mehr starten. Auch Backups und Network-Boot sind betroffen.

Microsoft Word Sicherheitslücke überlässt Hackern Dein System

Durch eine kritische Sicherheitslücke in Microsoft Word können Angreifer aus der Ferne beliebigen Code auf Deinem Rechner ausführen.

Janet Jackson: Musikvideo ist eine Sicherheitslücke

Janet Jackson sorgt mit einem ihrer Lieder für Aufsehen. Aber nicht, weil es die Charts erobert. Das Musikvideo ist eine Sicherheitslücke.

Ein junger Mann sitzt verängstigt vor seinem Laptop

Wie die Chatkontrolle den Kampf gegen CSAM behindern könnte

Die geplante Chatkontrolle entpuppt sich als Wolf im Schafspelz. Denn Hacker können das System mit seinen eigenen Waffen schlagen.

IT-Forensik-Bericht der Südwestfalen IT: Erkenntnisse zum Ransomware-Angriff

Der IT-Forensik-Bericht der Südwestfalen IT zeigt gravierende Sicherheitslücken bei der SIT auf. Mit MFA wäre es nicht so weit gekommen.

Sicherheitslücke in Telegram ermöglicht Zugriff auf Kamera und Mikrofon

macOS-Nutzer aufgepasst! Die in eurem Appstore erhältliche Version der Telegram-App enthält eine gravierende Sicherheitslücke.

Signal Desktop v6.3.0 erlaubt Manipulation von Anhängen

Die Signal Desktop-Anwendung verschlüsselt keine Dateianhänge. Wer Zugriff auf den PC erhält, könnte diese verfremden oder kopieren.

Hacker verschafft sich Zugriff auf Online-Personalausweis-eID-Funktion

Online-Personalausweis: Hacker spürt Sicherheitslücke auf

Mittels eigener App erlangte ein Hacker Login-Daten für die eID-Funktion beim Online-Personalausweis. Er informierte das BSI.

Eine Sicherheitslücke in Microsoft Outlook sorgt für Probleme mit Links

Outlook Sicherheitslücke: Microsoft schließt eigenes Log4J

Microsoft hat kürzlich einen vermutlich jahrzehntealten Bug in Outlook mit einer Schwere von 9,8/10 behoben.

Bitcoins, Litecoins und Ethereum im schwarzen Lederportemonnaie.

Atomic Wallet: Hackerangriff könnte Millionen von Nutzern bedrohen

Atomic Wallet-Nutzer von einem möglichen Hackerangriff betroffen. Sollten alternative und quelloffene Wallets in Betracht gezogen werden?

Ampel-Manipulation: IT-Experten könnten Verkehr lahmlegen

IT-Experten demonstrieren Reportern vom NDR, BR und der Computerzeitschrift c’t, wie einfach eine Ampel manipuliert werden kann.

Microsoft DHCP-Server ermöglicht DNS-Spoofing für Active Directory

Microsoft DHCP Server erlaubt DNS-Spoofing

Standardeinstellungen im beliebten Microsoft DHCP-Server können ausgenutzt werden, um DNS-Spoofing zu bewerkstelligen.

Windows Zertifikatvalidierung etwa so sicher wie ein kaputtes Schloss

Windows Lücke macht 99 % aller Server verwundbar

CVE-2022-34689 macht Tausende von Windows Servern verwundbar. Ein funktionierender Proof-of-Concept ist öffentlich verfügbar.

VMware ESXi-Server werden von neuer Ransomware verschlüsselt

Weltweit werden ungepatchte VMware ESXi-Server zur leichten Beute einer neuen Variante von Ransomware. Wir zeigen, wie sich die Malware in einigen Fällen austricksen lässt.

Eine CPU mit gepatchter Sicherheitslücke

Neue Sicherheitslücke entdeckt: Mehrere Intel-CPU-Modelle betroffen

Eine neu entdeckte Sicherheitslücke, die mehrere CPU-Generationen von Intel betrifft, lässt Angreifer fremde Speicherbereiche auslesen.