Fossa: Sicherheitslücken im VLC-Player geschlossen

Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.

Artikel veröffentlicht am ,
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen.
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen. (Bild: opello/CC-BY-SA 2.0)

Die neue Version 3.0.7 des VLC-Players schließt etliche Sicherheitslücken. Diese wurden im Rahmen des EU-finanzierten Bug-Bounty-Progamms Fossa entdeckt. Das Programm wurde von den EU-Abgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) in Reaktion auf die Heartbleed genannte Sicherheitslücke in OpenSSL initiiert.

Stellenmarkt
  1. Informatiker*in, Informationstechniker*in, Elektrotechniker*in mit Masterabschluss o. ä. (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen
  2. System Engineer (m/w/d) Citrix ADC / NetScaler
    DATAGROUP Köln GmbH, Köln (Home-Office)
Detailsuche

"Diese Version ist etwas Besonderes, da mehr Sicherheitsprobleme behoben wurden als bei jeder anderen Version von VLC", schreibt einer der VLC-Hauptentwickler, Jean-Baptiste Kempf, in einem Blogeintrag. Insgesamt seien 33 Sicherheitslücken mit dem Update geschlossen worden, ein Stack Buffer Overflow und ein Out-of-Bound Write seinen besonders schwerwiegend gewesen. Letzterer sei nicht im VLC-eigenen Code, sondern in der von ihm verwendeten faad2-Bibliothek gefunden worden. Diese werde zudem aktuell nicht gepflegt.

21 Sicherheitslücken stuft das Open-Source-Projekt als mittelschwer ein. Diese sollen sich mit aktivierter Speicherverwürfelung (Address Space Layout Randomization, ASLR) nicht ausnutzen lassen. Die übrigen zehn Sicherheitslücken ließen sich nicht ausnutzen und seien daher mit dem Gefahrenpotential gering eingestuft worden.

Erfahrungen mit Bug Bounties durchwachsen

In dem Blogbeitrag beschreibt Kempf die Erfahrungen mit dem Bug-Bounty-Programm. Die VLC-Entwickler hätten es mit sehr unterschiedlichen Hackern zu tun gehabt. "So viele Scriptkiddies und Leute, die uns erzählten, dass der VLC-Quellcode öffentlich einsehbar sei ...", schreibt Kempf.

Golem Akademie
  1. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26.-28. Oktober 2021, online
  2. OpenShift Installation & Administration
    31. Januar-2. Februar 2022, online
  3. Linux-Shellprogrammierung
    2.-5. November 2021, online
Weitere IT-Trainings

Man habe es mit den "nettesten Typen" zu tun gehabt, denen eine Zusammenarbeit wichtig gewesen sei und die sogar Patches für die gefundenen Sicherheitsprobleme geliefert hätten. Die Entwickler hätten es aber auch mit Leuten zu tun gehabt, die sie als "klassisches Sicherheits-Arschloch" bezeichneten. Diese seien unangenehm, beleidigend und ungeduldig gewesen, schreibt Kempf. Teilweise hätten sie versucht, "das Bounty zweimal für den gleichen Bug zu bekommen oder das an andere Programme gemeldet (Android One), um mehr Geld zu bekommen".

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  2. Arduino und Python: Bastler nimmt Audiokassette als Speichermedium für Retro-PC
    Arduino und Python
    Bastler nimmt Audiokassette als Speichermedium für Retro-PC

    Die Kassette kann nicht nur Lieder speichern, sondern auch Bitmuster. Ein Bastler baut dafür eine Schnittstelle mit 1,5 KBit/s Datenrate.

  3. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /