Deutliche Kritik an Behörden und Medien

Das Cert Bund warnt vor dem vermeintlichen Fehler damit, dass dieser ausgenutzt werden kann, um beliebigen Schadcode auszuführen, was aber eben mit der aktuellen Version der Bibliothek nicht der Fall ist. Bei Client-Anwendungen wie dem VLC-Player müssen wie erwähnt außerdem zum Ausnutzen einer Lücke Nutzer immer noch dazu gebracht werden, die manipulierten Dateien abzuspielen.

Stellenmarkt
  1. IT-Projektleiter*in in der Landesverkehrszentrale (m/w/d)
    Landesbetrieb Straßenbau Nordrhein-Westfalen, Leverkusen
  2. Linux Administrator (m/w/d)
    operational services GmbH & Co. KG, München
Detailsuche

Einige Medien verwenden in ihrer Berichterstattung außerdem den Begriff Remote Code Execution (RCE). Damit werden eigentlich gravierende Sicherheitslücken bezeichnet, die es Angreifern ermöglichen, eben ohne Zutun der Nutzer Schadcode auf Rechnern aus der Ferne auszuführen. In den allermeisten Fällen betrifft dies Server-Systeme. Diese Beschreibung ist für die Fehler im VLC-Player also auch völlig irreführend. Einige Medien empfehlen ihren Nutzern sogar eine Deinstallation des VLC-Players, was angesichts des Fehlers eine völlig überzogene Reaktion ist.

Zwar hat zumindest das Cert Bund inzwischen vorsichtig reagiert und bewertet das Risiko des Fehlers nur noch als mittelschwer statt wie bisher hoch. Auf Nachfrage von Golem.de kritisiert der Videolan-Chefentwickler Jean-Baptiste Kempf aber, dass der Eintrag vom Cert Bund immer noch auf den VLC-Player verweist, nicht aber auf die tatsächlich betroffene Bibliothek aus dem Matroska-Projekt. Angesichts des auftretenden Speicherlecks sei außerdem die Risikobewertung des Cert Bund immer noch zu hoch.

Derartige Kritik äußert das Videolan-Projekt auch auf seinem offiziellen Twitter-Kanal. Dort wird außerdem die Organisation zur Vergabe der CVE-Nummern, Mitre, sowie das NIST massiv kritisiert. Diese hätten sich vor Veröffentlichung ihrer Bekanntmachungen nicht mit dem Videolan-Projekt in Verbindung gesetzt.

Golem Karrierewelt
  1. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    05./06.12.2022, Virtuell
Weitere IT-Trainings

Das widerspreche zwar den eigenen Richtlinien von Mitre, geschehe laut Aussage der VLC-Entwickler jedoch schon seit Jahren. Ebenso sei auch das NIST nicht kooperationsbereit und gebe dem Videolan-Projekt nicht die Möglichkeit, falsche Informationen in deren Sicherheitswarnungen zu korrigieren. Auch auf eine aktuelle Anfrage zu dem Fehler hätten weder Mitre noch das NIST reagiert.

Für das gemeinnützige Videolan-Projekt ist solch ein Verhalten offizieller Stellen sowie auch vieler Medien besonders ärgerlich, da das Team aus Freiwilligen eben kaum Möglichkeiten hat, den dadurch angerichteten Schaden an der öffentlichen Wahrnehmung des Projekts zu beheben.

Nachtrag vom 25. Juli 2019, 8:42 Uhr

Das Cert Bund hat seine Risikobewertung für den ursprünglichen Fehler inzwischen erneut nach unten korrigiert und hält das Risiko der Lücke nun nur noch für niedrig. Auch das Nist hat seinen Bericht zu dem Fehler nun geändert und bewertet die Lücke nur noch als mittelschwer. Die US-Behörde verweist außerdem darauf, dass der Fehler in der Libebml vor Version 1.3.6 gesteckt hat und der Fehler seit Version 3.0.3 im VLC-Player behoben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Videolan: Eine VLC-Lücke, die keine ist
  1.  
  2. 1
  3. 2


Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...



Aktuell auf der Startseite von Golem.de
Viertes Mobilfunknetz
1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen

Fast keine eigenen Antennenstandorte, schwaches Open RAN, steigende Zinsen und Energiekosten: Ralph Dommermuth soll den Ausstieg bei 1&1 prüfen lassen. Das Unternehmen dementiert dies klar.

Viertes Mobilfunknetz: 1&1 lässt laut Bericht Verkauf des Unternehmens durchrechnen
Artikel
  1. App-Store-Rauswurfdrohung: Musk attackiert Apple
    App-Store-Rauswurfdrohung
    Musk attackiert Apple

    Apple hat angeblich seine Werbeaktivitäten auf Twitter weitgehend eingestellt und mit einem App-Store-Rauswurf gedroht.

  2. Verkehrsunternehmen: 49-Euro-Ticket kommt wohl erst im Mai
    Verkehrsunternehmen
    49-Euro-Ticket kommt wohl erst im Mai

    Das 49-Euro-Ticket sollte Anfang 2023 erscheinen, doch Verkehrsunternehmen erwarten den Start erst im Mai 2023. Kommunen drohen gar mit Blockade.

  3. Prozessor-Bug: Wie Intel einen Bug im ersten x86-Prozessor fixte
    Prozessor-Bug
    Wie Intel einen Bug im ersten x86-Prozessor fixte

    Der Prozessor tut nicht ganz, was er soll? Heute löst das oft eine neue Firmware, vor 40 Jahren musste neues Silizium her.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • Samsung Cyber Week • Top-TVs (2022) LG & Samsung über 40% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /