Deutliche Kritik an Behörden und Medien

Das Cert Bund warnt vor dem vermeintlichen Fehler damit, dass dieser ausgenutzt werden kann, um beliebigen Schadcode auszuführen, was aber eben mit der aktuellen Version der Bibliothek nicht der Fall ist. Bei Client-Anwendungen wie dem VLC-Player müssen wie erwähnt außerdem zum Ausnutzen einer Lücke Nutzer immer noch dazu gebracht werden, die manipulierten Dateien abzuspielen.

Stellenmarkt
  1. Controllerin / Controller (m/w/d), Referat Finanzcontrolling und Risikomanagement
    GKV-Spitzenverband, Berlin
  2. Projektmanager "technische Administration Schulnetzwerk" (m/w/d)
    Gemeinnützige Hertie-Stiftung, Frankfurt
Detailsuche

Einige Medien verwenden in ihrer Berichterstattung außerdem den Begriff Remote Code Execution (RCE). Damit werden eigentlich gravierende Sicherheitslücken bezeichnet, die es Angreifern ermöglichen, eben ohne Zutun der Nutzer Schadcode auf Rechnern aus der Ferne auszuführen. In den allermeisten Fällen betrifft dies Server-Systeme. Diese Beschreibung ist für die Fehler im VLC-Player also auch völlig irreführend. Einige Medien empfehlen ihren Nutzern sogar eine Deinstallation des VLC-Players, was angesichts des Fehlers eine völlig überzogene Reaktion ist.

Zwar hat zumindest das Cert Bund inzwischen vorsichtig reagiert und bewertet das Risiko des Fehlers nur noch als mittelschwer statt wie bisher hoch. Auf Nachfrage von Golem.de kritisiert der Videolan-Chefentwickler Jean-Baptiste Kempf aber, dass der Eintrag vom Cert Bund immer noch auf den VLC-Player verweist, nicht aber auf die tatsächlich betroffene Bibliothek aus dem Matroska-Projekt. Angesichts des auftretenden Speicherlecks sei außerdem die Risikobewertung des Cert Bund immer noch zu hoch.

Derartige Kritik äußert das Videolan-Projekt auch auf seinem offiziellen Twitter-Kanal. Dort wird außerdem die Organisation zur Vergabe der CVE-Nummern, Mitre, sowie das NIST massiv kritisiert. Diese hätten sich vor Veröffentlichung ihrer Bekanntmachungen nicht mit dem Videolan-Projekt in Verbindung gesetzt.

Golem Akademie
  1. Scrum Product Owner: Vorbereitung auf den PSPO I (Scrum.org): virtueller Zwei-Tage-Workshop
    3.–4. März 2022, virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    26.–28. Oktober 2021, Virtuell
Weitere IT-Trainings

Das widerspreche zwar den eigenen Richtlinien von Mitre, geschehe laut Aussage der VLC-Entwickler jedoch schon seit Jahren. Ebenso sei auch das NIST nicht kooperationsbereit und gebe dem Videolan-Projekt nicht die Möglichkeit, falsche Informationen in deren Sicherheitswarnungen zu korrigieren. Auch auf eine aktuelle Anfrage zu dem Fehler hätten weder Mitre noch das NIST reagiert.

Für das gemeinnützige Videolan-Projekt ist solch ein Verhalten offizieller Stellen sowie auch vieler Medien besonders ärgerlich, da das Team aus Freiwilligen eben kaum Möglichkeiten hat, den dadurch angerichteten Schaden an der öffentlichen Wahrnehmung des Projekts zu beheben.

Nachtrag vom 25. Juli 2019, 8:42 Uhr

Das Cert Bund hat seine Risikobewertung für den ursprünglichen Fehler inzwischen erneut nach unten korrigiert und hält das Risiko der Lücke nun nur noch für niedrig. Auch das Nist hat seinen Bericht zu dem Fehler nun geändert und bewertet die Lücke nur noch als mittelschwer. Die US-Behörde verweist außerdem darauf, dass der Fehler in der Libebml vor Version 1.3.6 gesteckt hat und der Fehler seit Version 3.0.3 im VLC-Player behoben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Videolan: Eine VLC-Lücke, die keine ist
  1.  
  2. 1
  3. 2


Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Frostwind 27. Jul 2019

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...



Aktuell auf der Startseite von Golem.de
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienen Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Artikel
  1. Koalitionsvertrag: Berlin setzt auf Open Source
    Koalitionsvertrag
    Berlin setzt auf Open Source

    Die neue Berliner Landesregierung hält Open Source für "unverzichtbar". Offener Code soll priorisiert und OSS-Communitys gefördert werden.

  2. TTDSG: Neue Cookie-Regelung in Kraft getreten
    TTDSG
    Neue Cookie-Regelung in Kraft getreten

    Mit jahrelanger Verspätung macht Deutschland die Cookie-Einwilligung zur Pflicht. Die Verordnung zu Einwilligungsdiensten lässt noch auf sich warten.

  3. Prozessoren: Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus
    Prozessoren
    Intel lagert zehn Jahre alte Hardware in geheimem Lagerhaus

    Tausende ältere CPUs und andere Hardware lagern bei Intel in einem Lagerhaus in Costa Rica. Damit lassen sich Probleme exakt nachstellen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /