Abo
  • IT-Karriere:

Fossa: Sicherheitslücken im VLC-Player geschlossen

Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.

Artikel veröffentlicht am ,
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen.
Süßes gegen Saures: 33 Sicherheitslücken im VLC-Player geschlossen. (Bild: opello/CC-BY-SA 2.0)

Die neue Version 3.0.7 des VLC-Players schließt etliche Sicherheitslücken. Diese wurden im Rahmen des EU-finanzierten Bug-Bounty-Progamms Fossa entdeckt. Das Programm wurde von den EU-Abgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) in Reaktion auf die Heartbleed genannte Sicherheitslücke in OpenSSL initiiert.

Stellenmarkt
  1. über Kienbaum Consultants International GmbH, Stuttgart
  2. ifp - Institut für Managementdiagnostik Will & Partner GmbH & Co. KG, Großraum München

"Diese Version ist etwas Besonderes, da mehr Sicherheitsprobleme behoben wurden als bei jeder anderen Version von VLC", schreibt einer der VLC-Hauptentwickler, Jean-Baptiste Kempf, in einem Blogeintrag. Insgesamt seien 33 Sicherheitslücken mit dem Update geschlossen worden, ein Stack Buffer Overflow und ein Out-of-Bound Write seinen besonders schwerwiegend gewesen. Letzterer sei nicht im VLC-eigenen Code, sondern in der von ihm verwendeten faad2-Bibliothek gefunden worden. Diese werde zudem aktuell nicht gepflegt.

21 Sicherheitslücken stuft das Open-Source-Projekt als mittelschwer ein. Diese sollen sich mit aktivierter Speicherverwürfelung (Address Space Layout Randomization, ASLR) nicht ausnutzen lassen. Die übrigen zehn Sicherheitslücken ließen sich nicht ausnutzen und seien daher mit dem Gefahrenpotential gering eingestuft worden.

Erfahrungen mit Bug Bounties durchwachsen

In dem Blogbeitrag beschreibt Kempf die Erfahrungen mit dem Bug-Bounty-Programm. Die VLC-Entwickler hätten es mit sehr unterschiedlichen Hackern zu tun gehabt. "So viele Scriptkiddies und Leute, die uns erzählten, dass der VLC-Quellcode öffentlich einsehbar sei ...", schreibt Kempf.

Man habe es mit den "nettesten Typen" zu tun gehabt, denen eine Zusammenarbeit wichtig gewesen sei und die sogar Patches für die gefundenen Sicherheitsprobleme geliefert hätten. Die Entwickler hätten es aber auch mit Leuten zu tun gehabt, die sie als "klassisches Sicherheits-Arschloch" bezeichneten. Diese seien unangenehm, beleidigend und ungeduldig gewesen, schreibt Kempf. Teilweise hätten sie versucht, "das Bounty zweimal für den gleichen Bug zu bekommen oder das an andere Programme gemeldet (Android One), um mehr Geld zu bekommen".



Anzeige
Spiele-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. 69,99€ (Release am 25. Oktober)
  3. 12,99€

Hotohori 11. Jun 2019

Deppen gibt es halt überall, logisch, dass es daher nicht nur angenehme "Hacker" gibt...


Folgen Sie uns
       


Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019)

Der transparente OLED-Fernseher von Panasonic rückt immer näher. Auf der Ifa 2019 steht ein Prototyp, der schon jetzt Einrichtungsideen in den Kopf ruft.

Transparenter OLED-Screen von Panasonic angesehen (Ifa 2019) Video aufrufen
WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

    •  /