Warnung von BSI und CERT Verwirrung um Sicherheitslücke im VLC Media Player

Deutsche Sicherheitsexperten haben vor einer Schwachstelle im weit verbreiteten VLC Media Player gewarnt. Die Entwickler behaupten allerdings, diese sei schon lange geschlossen worden.

VLC Media Player
VideoLAN

VLC Media Player


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) warnen vor einer Sicherheitslücke in der aktuellen Version 3.0.7.1 des VLC Media Players. Allerdings gibt es rund um die Sicherheitswarnungen Verwirrung. Zunächst stufte das BSI das Risiko der Schwachstelle als "hoch" ein, inzwischen aber wurde die Warnung mehrfach verändert: Erst galt die Bedrohung als "mittel", inzwischen sogar nur noch als "niedrig".

Nach der ersten alarmierenden Warnung meldeten sich die Entwickler des VLC Media Players per Twitter zur Wort: Das Projekt VideoLAN gab an, der Player sei nicht direkt durch eine Sicherheitslücke betroffen. Vielmehr handele es sich um einen Fehler in der Bibliothek eines Drittanbieters, welcher vor mehr als 16 Monaten bereits behoben wurde. Die verschiedenen Sicherheitsstellen hätten sich im Vorfeld nicht mit VideoLAN in Verbindung gesetzt. Hätten sie es getan, wüssten sie, dass der VLC-Player seit Version 3.0.3 nicht mehr von der Schwachstelle betroffen ist. Die aktuelle Version hat die Nummer 3.0.7.1.

BSI hatte die erste Warnung als "plausibel eingestuft"

Das CERT hatte zunächst geschrieben, eine manipulierte Videodatei könne einen Bug im MKV-Modul des Players ausnutzen und zu einem Speicherüberlauf führen. Dadurch hätten "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden können". Zugriffsrechte oder die Zustimmung des Nutzers hätte es nicht gebraucht.

Vom Bundesamt für Sicherheit in der Informationstechnik (BSI) hieß es auf Anfrage am Donnerstag, das Amt habe den "Hinweis erhalten, dass ein vom Finder hochkritisch eingestufter Schwachstellenfund beim VLC-Player entdeckt wurde". Diese Warnung wurde "als plausibel eingestuft, weshalb das BSI von seinem gesetzlichen Auftrag bei möglicher Gefahr in Verzug zu warnen, Gebrauch gemacht hat."

Den entsprechenden Hinweis habe das Amt "als Kurzinformation" veröffentlicht. "Nachdem neue Erkenntnisse öffentlich wurden, hat das BSI sofort reagiert und die Information heruntergestuft", schreibt eine Sprecherin, "als BSI ist es uns wichtig, aus allen Vorgängen und den Rückmeldungen dazu zu lernen um die jeweiligen Prozesse anzupassen und ständig zu verbessern."

Anmerkung: Dieser Artikel wird laufend aktualisiert. Aufgrund der inzwischen von BSI und CERT abgeänderten Warnungen haben wir den Text entsprechend angepasst und um die Stellungnahme des BSI ergänzt.

cva



insgesamt 26 Beiträge
Alle Kommentare öffnen
Seite 1
stranzjoseffrauss 24.07.2019
1. Offenbar zu früh Panik geschoben
"Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago…" [https://trac.videolan.org/vlc/ticket/22474#comment:21]
equigen 24.07.2019
2. mkv Format?
Wegen eines kaum verwendeten Formats wo in solchen Files ein Angriff stecken könnte soll ich vlc nicht mehr benutzen um meine mp3 oder mpg / mov Files abzuspielen?? Muss man immer gleich so übertreiben?
tuvalu2004 24.07.2019
3. Was für eine Empfehlung
Den Quasistandard nicht mehr zu benutzen.
moerre 24.07.2019
4. Artikel bitte aktualisieren! Fehlalarm!
Der Artikel verlinkt ja das Ticket. Ist inzwischen geschlossen, es war von Anfang an ein Fehlalarm! Wenn die Artikelautoren - und das BSI - nicht nur verlinkt sondern auch mal nachgelesen hätten, hätten Sie lesen können, dass das von Anfang an auf eine Ubuntu-Version beschränkt war. Anderswo konnte das Problem nie reproduziert werden. Ein großer Schrei um gar nichts.
Nonvaio01 24.07.2019
5. Kaum verwendet?
Zitat von equigenWegen eines kaum verwendeten Formats wo in solchen Files ein Angriff stecken könnte soll ich vlc nicht mehr benutzen um meine mp3 oder mpg / mov Files abzuspielen?? Muss man immer gleich so übertreiben?
MKV ist die beste qualitaet, und 90% bei mir sind MKV. Wenig verbreitet wuerde ich nicht sagen
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.