• IT-Karriere:
  • Services:

Deutliche Kritik an Behörden und Medien

Das Cert Bund warnt vor dem vermeintlichen Fehler damit, dass dieser ausgenutzt werden kann, um beliebigen Schadcode auszuführen, was aber eben mit der aktuellen Version der Bibliothek nicht der Fall ist. Bei Client-Anwendungen wie dem VLC-Player müssen wie erwähnt außerdem zum Ausnutzen einer Lücke Nutzer immer noch dazu gebracht werden, die manipulierten Dateien abzuspielen.

Stellenmarkt
  1. Der_Kontaktbeschaffer, Freiburg im Breisgau
  2. Lebensversicherung von 1871 a. G. München, München

Einige Medien verwenden in ihrer Berichterstattung außerdem den Begriff Remote Code Execution (RCE). Damit werden eigentlich gravierende Sicherheitslücken bezeichnet, die es Angreifern ermöglichen, eben ohne Zutun der Nutzer Schadcode auf Rechnern aus der Ferne auszuführen. In den allermeisten Fällen betrifft dies Server-Systeme. Diese Beschreibung ist für die Fehler im VLC-Player also auch völlig irreführend. Einige Medien empfehlen ihren Nutzern sogar eine Deinstallation des VLC-Players, was angesichts des Fehlers eine völlig überzogene Reaktion ist.

Zwar hat zumindest das Cert Bund inzwischen vorsichtig reagiert und bewertet das Risiko des Fehlers nur noch als mittelschwer statt wie bisher hoch. Auf Nachfrage von Golem.de kritisiert der Videolan-Chefentwickler Jean-Baptiste Kempf aber, dass der Eintrag vom Cert Bund immer noch auf den VLC-Player verweist, nicht aber auf die tatsächlich betroffene Bibliothek aus dem Matroska-Projekt. Angesichts des auftretenden Speicherlecks sei außerdem die Risikobewertung des Cert Bund immer noch zu hoch.

Derartige Kritik äußert das Videolan-Projekt auch auf seinem offiziellen Twitter-Kanal. Dort wird außerdem die Organisation zur Vergabe der CVE-Nummern, Mitre, sowie das NIST massiv kritisiert. Diese hätten sich vor Veröffentlichung ihrer Bekanntmachungen nicht mit dem Videolan-Projekt in Verbindung gesetzt.

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
  2. PostgreSQL Fundamentals
    15.-18. Juni 2021, online
Weitere IT-Trainings

Das widerspreche zwar den eigenen Richtlinien von Mitre, geschehe laut Aussage der VLC-Entwickler jedoch schon seit Jahren. Ebenso sei auch das NIST nicht kooperationsbereit und gebe dem Videolan-Projekt nicht die Möglichkeit, falsche Informationen in deren Sicherheitswarnungen zu korrigieren. Auch auf eine aktuelle Anfrage zu dem Fehler hätten weder Mitre noch das NIST reagiert.

Für das gemeinnützige Videolan-Projekt ist solch ein Verhalten offizieller Stellen sowie auch vieler Medien besonders ärgerlich, da das Team aus Freiwilligen eben kaum Möglichkeiten hat, den dadurch angerichteten Schaden an der öffentlichen Wahrnehmung des Projekts zu beheben.

Nachtrag vom 25. Juli 2019, 8:42 Uhr

Das Cert Bund hat seine Risikobewertung für den ursprünglichen Fehler inzwischen erneut nach unten korrigiert und hält das Risiko der Lücke nun nur noch für niedrig. Auch das Nist hat seinen Bericht zu dem Fehler nun geändert und bewertet die Lücke nur noch als mittelschwer. Die US-Behörde verweist außerdem darauf, dass der Fehler in der Libebml vor Version 1.3.6 gesteckt hat und der Fehler seit Version 3.0.3 im VLC-Player behoben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Videolan: Eine VLC-Lücke, die keine ist
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 172,90€
  2. 69,90€ (Bestpreis)
  3. (u. a. Razer Basilisk Ultimate Wireless Gaming-Maus und Mouse Dock für 129€, Asus ROG Strix G17...
  4. (u. a. Samsung GQ65Q80T 65 Zoll QLED für 1.199€, Corsair HS60 Over-ear-Gaming-Headset Carbon...

Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Frostwind 27. Jul 2019

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...


Folgen Sie uns
       


Samsung QLED 8K Q800T - Test

Samsungs preisgünstiger 8K-Fernseher hat eine tolle Auflösung, schneidet aber insgesamt nicht so gut ab.

Samsung QLED 8K Q800T - Test Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /