Abo
  • IT-Karriere:

Fossa: Sicherheitslücken im VLC-Player geschlossen

Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.

Artikel veröffentlicht am ,
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen.
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen. (Bild: opello/CC-BY-SA 2.0)

Die neue Version 3.0.7 des VLC-Players schließt etliche Sicherheitslücken. Diese wurden im Rahmen des EU-finanzierten Bug-Bounty-Progamms Fossa entdeckt. Das Programm wurde von den EU-Abgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) in Reaktion auf die Heartbleed genannte Sicherheitslücke in OpenSSL initiiert.

Stellenmarkt
  1. Marienhaus Dienstleistungen GmbH, Ottweiler, Hermeskeil, Bitburg, Neuwied, Bad Neuenahr-Ahrweiler
  2. afb Application Services AG, München

"Diese Version ist etwas Besonderes, da mehr Sicherheitsprobleme behoben wurden als bei jeder anderen Version von VLC", schreibt einer der VLC-Hauptentwickler, Jean-Baptiste Kempf, in einem Blogeintrag. Insgesamt seien 33 Sicherheitslücken mit dem Update geschlossen worden, ein Stack Buffer Overflow und ein Out-of-Bound Write seinen besonders schwerwiegend gewesen. Letzterer sei nicht im VLC-eigenen Code, sondern in der von ihm verwendeten faad2-Bibliothek gefunden worden. Diese werde zudem aktuell nicht gepflegt.

21 Sicherheitslücken stuft das Open-Source-Projekt als mittelschwer ein. Diese sollen sich mit aktivierter Speicherverwürfelung (Address Space Layout Randomization, ASLR) nicht ausnutzen lassen. Die übrigen zehn Sicherheitslücken ließen sich nicht ausnutzen und seien daher mit dem Gefahrenpotential gering eingestuft worden.

Erfahrungen mit Bug Bounties durchwachsen

In dem Blogbeitrag beschreibt Kempf die Erfahrungen mit dem Bug-Bounty-Programm. Die VLC-Entwickler hätten es mit sehr unterschiedlichen Hackern zu tun gehabt. "So viele Scriptkiddies und Leute, die uns erzählten, dass der VLC-Quellcode öffentlich einsehbar sei ...", schreibt Kempf.

Man habe es mit den "nettesten Typen" zu tun gehabt, denen eine Zusammenarbeit wichtig gewesen sei und die sogar Patches für die gefundenen Sicherheitsprobleme geliefert hätten. Die Entwickler hätten es aber auch mit Leuten zu tun gehabt, die sie als "klassisches Sicherheits-Arschloch" bezeichneten. Diese seien unangenehm, beleidigend und ungeduldig gewesen, schreibt Kempf. Teilweise hätten sie versucht, "das Bounty zweimal für den gleichen Bug zu bekommen oder das an andere Programme gemeldet (Android One), um mehr Geld zu bekommen".



Anzeige
Hardware-Angebote
  1. 529,00€ (zzgl. Versand)
  2. 344,00€
  3. täglich neue Deals bei Alternate.de

Hotohori 11. Jun 2019

Deppen gibt es halt überall, logisch, dass es daher nicht nur angenehme "Hacker" gibt...


Folgen Sie uns
       


Wasserstoff-Mercedes GLC F-Cell im Test

Der Mercedes GLC F-Cell ist eines der wenigen Serienfahrzeuge mit Brennstoffzellenantrieb. Wir haben das Auto getestet.

Wasserstoff-Mercedes GLC F-Cell im Test Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

Nachhaltigkeit: Jute im Plastik
Nachhaltigkeit
Jute im Plastik

Baustoff- und Autohersteller nutzen sie zunehmend, doch etabliert sind Verbundwerkstoffe mit Naturfasern noch lange nicht. Dabei gibt es gute Gründe, sie einzusetzen, Umweltschutz ist nur einer von vielen.
Ein Bericht von Werner Pluta

  1. Autos Elektro, Brennstoffzelle oder Diesel?
  2. Energie Wo die Wasserstoffqualität getestet wird
  3. Energiespeicher Heiße Steine sind effizienter als Brennstoffzellen

Ryzen 5 3400G und Ryzen 3 3200G im Test: Picasso passt
Ryzen 5 3400G und Ryzen 3 3200G im Test
Picasso passt

Vier Zen-CPU-Kerne plus integrierte Vega-Grafikeinheit: Der Ryzen 5 3400G und der Ryzen 3 3200G sind zwar im Prinzip nur höher getaktete Chips, in ihrem Segment aber weiterhin konkurrenzlos. Das schnellere Modell hat jedoch trotz verlötetem Extra für Übertakter ein Preisproblem.
Ein Test von Marc Sauter

  1. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000
  2. Ryzen 3000 Agesa 1003abb behebt RDRAND- und PCIe-Gen4-Bug
  3. Ryzen 5 3600(X) im Test Sechser-Pasch von AMD

    •  /