Forum: Netzwelt
BSI und CERT warnen: Schwere Sicherheitslücke im VLC Media Player
VideoLAN

Deutsche Sicherheitsexperten warnen vor einer Schwachstelle im weit verbreiteten VLC Media Player. Nutzer sollten das kostenlose Programm aktuell nicht mehr nutzen und auf Alternativen umsteigen.

Seite 1 von 3
stranzjoseffrauss 24.07.2019, 12:10
1. Offenbar zu früh Panik geschoben

"Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago…" [https://trac.videolan.org/vlc/ticket/22474#comment:21]

Beitrag melden Antworten / Zitieren
equigen 24.07.2019, 12:55
2. mkv Format?

Wegen eines kaum verwendeten Formats wo in solchen Files ein Angriff stecken könnte soll ich vlc nicht mehr benutzen um meine mp3 oder mpg / mov Files abzuspielen?? Muss man immer gleich so übertreiben?

Beitrag melden Antworten / Zitieren
tuvalu2004 24.07.2019, 13:08
3. Was für eine Empfehlung

Den Quasistandard nicht mehr zu benutzen.

Beitrag melden Antworten / Zitieren
moerre 24.07.2019, 13:10
4. Artikel bitte aktualisieren! Fehlalarm!

Der Artikel verlinkt ja das Ticket. Ist inzwischen geschlossen, es war von Anfang an ein Fehlalarm!

Wenn die Artikelautoren - und das BSI - nicht nur verlinkt sondern auch mal nachgelesen hätten, hätten Sie lesen können, dass das von Anfang an auf eine Ubuntu-Version beschränkt war. Anderswo konnte das Problem nie reproduziert werden.

Ein großer Schrei um gar nichts.

Beitrag melden Antworten / Zitieren
Nonvaio01 24.07.2019, 13:13
5. Kaum verwendet?

Zitat von equigen
Wegen eines kaum verwendeten Formats wo in solchen Files ein Angriff stecken könnte soll ich vlc nicht mehr benutzen um meine mp3 oder mpg / mov Files abzuspielen?? Muss man immer gleich so übertreiben?
MKV ist die beste qualitaet, und 90% bei mir sind MKV. Wenig verbreitet wuerde ich nicht sagen

Beitrag melden Antworten / Zitieren
Nonvaio01 24.07.2019, 13:14
6. Videolan

ist keine Firma, das ist open source.....wie bei Linux oder Libre

Beitrag melden Antworten / Zitieren
Onkel Drops 24.07.2019, 13:20
7. meinen sie das matroska format und deren Ableger?

dann nennt man das nicht MKV sondern matroska Format! MKV war eines der ersten Codecs auf matroska basierend. man soll dann bitte zum Microsoft media player oder real time wechseln? gibt ja nur 3 Player? wie der andere Forist darlegte ist das längst behoben... erstmal zu spät gewarnt,dann das falsche empfohlen und nebenher war es bereits geklärt... musste erst per Fax ans Kanzleramt raus und die haben die Warnung via Telex gesendet.das auslesen des Lochstreifen dauerte halt etwas ... der Amtschimmel mag halt keine bits und bytes, der frißt lieber Euronen und beim Rollator schieben fallen manchmal alte Äpfel hinten runter...

Beitrag melden Antworten / Zitieren
spoonium 24.07.2019, 13:25
8. Fehlalarm

Ja, da hat SPON wohl pünktlich zur Feststellung, dass es ein Fehlalarm, bzw. dass das falsche Programm verantwortlich gemacht wurde, die Meldung dazu rausgebracht. ;)
Vorher die Kommentare im Bugtracker zu lesen, wäre wohl hilfreich gewesen, dann hätte man sich den Artikel gleich sparen können.

Heise hat die Meldung übrigens bereits am Freitag vor fünf Tagen rausgebracht, hat den Status aber auch noch nicht geändert.

Beitrag melden Antworten / Zitieren
Techniker 24.07.2019, 13:28
9. @Spiegel

Ist das die Arbeitsweise Ihrer Dokumentationsabteilung von der sie immer so gerne reden? Wie wäre es, einfach mal selbst nachzusehen? User stranzjoseffrauss hatte keine Probleme, den entsprechenden thread im VLC Bugtracker zu finden. Dort konnte niemand außer dem Bug Reporter) einen Buffer Overflow reproduzieren. Das Problem geht auf einen längst behobenen Fehler in einer externen Library zurück.

Fazit im Bug Tracker:"

"Jean-Baptiste Kempf

Note: if you report a security issue, at least update your linux distribution"

Dokumentationsabteilung 2:

Hinter VLC steht keine Firma:

"The project started as a student project at the French École Centrale Paris, in 1996. After a complete rewrite in 1998, it became Open Source, thanks to the agreement of the École Centrale Paris, in 2001.

The project started to open up to developers outside of the École. It is now a worldwide project with developers from 40 countries.

Since 2009, the project is completely separated from École Centrale Paris, and is driven by an autonomous non-profit organization."

Auf vlc.org in Sekunden zu finden.

Werden sie die Entwarnung nach der Panikmache wenigstens genauso groß und deutlich bringen?

Beitrag melden Antworten / Zitieren
Seite 1 von 3