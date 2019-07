Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) warnen vor einer schweren Sicherheitslücke in der aktuellen Version 3.0.7.1 des VLC Media Players. Das Risiko sei als "hoch" zu bewerten, da die Schwachstelle das Ausführen beliebigen Codes ermögliche. Damit könnten Angreifer ein Computersystem übernehmen. Spezielle Zugriffsrechte oder eine Interaktion des Nutzers seien dafür nicht nötig - das macht die Sicherheitslücke so gefährlich.

Laut BSI und CERT betrifft die Schwachstelle die Programmversionen für Linux, UNIX (macOS) und Windows. Auf allen drei Systemen könnte eine manipulierte Videodatei einen Fehler im sogenannten MKV-Modul des Players ausnutzen und zu einem Speicherüberlauf führen. Dieses Modul ermöglicht dem Player, MKV-Dateien abzuspielen. Das Format, erkennbar an den Dateiendungen .mkv, .mka, .mks und .mk3d, unterstützt verschiedene Video- und Audiocodecs sowie Untertitel.

Laut CERT könnte durch die Schwachstelle "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden". Noch unklar ist, ob auch ältere Versionen des VLC-Players betroffen sind, da nicht sicher ist, wie lange der Fehler bereits Teil des Programms ist.

Entwickler arbeiten an einem Patch

Die Schwachstelle ist Videolan, der Entwicklerfirma des VLC Media Players, seit vier Wochen bekannt. So lange arbeitet man bereits mit "höchster Priorität" an einem Update, welches die Lücke schließen soll. Wann dieses erscheint, ist noch unklar.

Bis die Sicherheitslücke gefixt ist, sollten Nutzer den VLC Media Player nicht mehr verwenden und in der Zwischenzeit auf Alternativen wie zum Beispiel den Media Player Classic oder RealTimes umsteigen.

Auch ältere Versionen des VLC Media Players sollten zur Sicherheit nicht mehr genutzt werden. Obwohl bisher keine Angriffe durch die Schwachstelle bekannt sind, könnte diese jederzeit ausgenutzt werden.