• IT-Karriere:
  • Services:

Fossa: Sicherheitslücken im VLC-Player geschlossen

Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.

Artikel veröffentlicht am ,
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen.
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen. (Bild: opello/CC-BY-SA 2.0)

Die neue Version 3.0.7 des VLC-Players schließt etliche Sicherheitslücken. Diese wurden im Rahmen des EU-finanzierten Bug-Bounty-Progamms Fossa entdeckt. Das Programm wurde von den EU-Abgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) in Reaktion auf die Heartbleed genannte Sicherheitslücke in OpenSSL initiiert.

Stellenmarkt
  1. KRATZER AUTOMATION AG, Unterschleißheim
  2. KBV Kassenärztliche Bundesvereinigung, Berlin

"Diese Version ist etwas Besonderes, da mehr Sicherheitsprobleme behoben wurden als bei jeder anderen Version von VLC", schreibt einer der VLC-Hauptentwickler, Jean-Baptiste Kempf, in einem Blogeintrag. Insgesamt seien 33 Sicherheitslücken mit dem Update geschlossen worden, ein Stack Buffer Overflow und ein Out-of-Bound Write seinen besonders schwerwiegend gewesen. Letzterer sei nicht im VLC-eigenen Code, sondern in der von ihm verwendeten faad2-Bibliothek gefunden worden. Diese werde zudem aktuell nicht gepflegt.

21 Sicherheitslücken stuft das Open-Source-Projekt als mittelschwer ein. Diese sollen sich mit aktivierter Speicherverwürfelung (Address Space Layout Randomization, ASLR) nicht ausnutzen lassen. Die übrigen zehn Sicherheitslücken ließen sich nicht ausnutzen und seien daher mit dem Gefahrenpotential gering eingestuft worden.

Erfahrungen mit Bug Bounties durchwachsen

In dem Blogbeitrag beschreibt Kempf die Erfahrungen mit dem Bug-Bounty-Programm. Die VLC-Entwickler hätten es mit sehr unterschiedlichen Hackern zu tun gehabt. "So viele Scriptkiddies und Leute, die uns erzählten, dass der VLC-Quellcode öffentlich einsehbar sei ...", schreibt Kempf.

Man habe es mit den "nettesten Typen" zu tun gehabt, denen eine Zusammenarbeit wichtig gewesen sei und die sogar Patches für die gefundenen Sicherheitsprobleme geliefert hätten. Die Entwickler hätten es aber auch mit Leuten zu tun gehabt, die sie als "klassisches Sicherheits-Arschloch" bezeichneten. Diese seien unangenehm, beleidigend und ungeduldig gewesen, schreibt Kempf. Teilweise hätten sie versucht, "das Bounty zweimal für den gleichen Bug zu bekommen oder das an andere Programme gemeldet (Android One), um mehr Geld zu bekommen".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 79,99€ (Release 10. Juni)
  2. 3,50€
  3. 26,99€
  4. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...

Hotohori 11. Jun 2019

Deppen gibt es halt überall, logisch, dass es daher nicht nur angenehme "Hacker" gibt...


Folgen Sie uns
       


Audi RS E-Tron GT Probe gefahren

Audis E-Tron GT ist das bislang PS-stärkste RS-Modell auf dem Markt.

Audi RS E-Tron GT Probe gefahren Video aufrufen
Börse: Was zur Hölle ist ein SPAC?
Börse
Was zur Hölle ist ein SPAC?

SPACs sind die neue Modewelle an der Börse: Firmen, die es eigentlich nicht könnten, gehen unter dem Mantel einer anderen Firma an die Börse. Golem.de hat unter den Mantel geschaut.
Eine Analyse von Achim Sawall

  1. Wallstreetbets Trade Republic entschuldigt sich für Probleme mit Gamestop
  2. Tokyo Stock Exchange Hardware-Ausfall legte Tokioter Börse lahm

Razer Huntsman V2 Analog im Test: Die Gamepad-Tastatur
Razer Huntsman V2 Analog im Test
Die Gamepad-Tastatur

Spielen mit Gamepad oder Keyboard - warum eigentlich nicht mit beidem? Mit Razers neuer Tastatur legen wir Analogsticks auf WSAD.
Ein Test von Oliver Nickel

  1. SPC Gear Mechanische TKL-Tastatur mit RGB kostet 55 Euro
  2. Launch Neue Details zur Open-Source-Tastatur von System76
  3. Youtube Elektroschock-Tastatur bestraft schlampiges Tippen

No-Regret-Infrastruktur: Wasserstoffnetze für Stahl und Chemie
No-Regret-Infrastruktur
Wasserstoffnetze für Stahl und Chemie

Die Organisation Agora Energiewende schlägt vor, sich beim Bau von Wasserstoffleitungen und Speichern zunächst auf wenige Regionen zu konzentrieren.
Von Hanno Böck

  1. Brennstoffzellenfahrzeug Fraunhofer IFAM entwickelt wasserstoffspeichernde Paste
  2. Wasserstoff Lavo entwickelt Wasserstoffspeicher fürs Eigenheim
  3. Energiewende EWE baut einen Wasserstoffspeicher bei Berlin

    •  /