• IT-Karriere:
  • Services:

Deutliche Kritik an Behörden und Medien

Das Cert Bund warnt vor dem vermeintlichen Fehler damit, dass dieser ausgenutzt werden kann, um beliebigen Schadcode auszuführen, was aber eben mit der aktuellen Version der Bibliothek nicht der Fall ist. Bei Client-Anwendungen wie dem VLC-Player müssen wie erwähnt außerdem zum Ausnutzen einer Lücke Nutzer immer noch dazu gebracht werden, die manipulierten Dateien abzuspielen.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. SIZ GmbH, Bonn

Einige Medien verwenden in ihrer Berichterstattung außerdem den Begriff Remote Code Execution (RCE). Damit werden eigentlich gravierende Sicherheitslücken bezeichnet, die es Angreifern ermöglichen, eben ohne Zutun der Nutzer Schadcode auf Rechnern aus der Ferne auszuführen. In den allermeisten Fällen betrifft dies Server-Systeme. Diese Beschreibung ist für die Fehler im VLC-Player also auch völlig irreführend. Einige Medien empfehlen ihren Nutzern sogar eine Deinstallation des VLC-Players, was angesichts des Fehlers eine völlig überzogene Reaktion ist.

Zwar hat zumindest das Cert Bund inzwischen vorsichtig reagiert und bewertet das Risiko des Fehlers nur noch als mittelschwer statt wie bisher hoch. Auf Nachfrage von Golem.de kritisiert der Videolan-Chefentwickler Jean-Baptiste Kempf aber, dass der Eintrag vom Cert Bund immer noch auf den VLC-Player verweist, nicht aber auf die tatsächlich betroffene Bibliothek aus dem Matroska-Projekt. Angesichts des auftretenden Speicherlecks sei außerdem die Risikobewertung des Cert Bund immer noch zu hoch.

Derartige Kritik äußert das Videolan-Projekt auch auf seinem offiziellen Twitter-Kanal. Dort wird außerdem die Organisation zur Vergabe der CVE-Nummern, Mitre, sowie das NIST massiv kritisiert. Diese hätten sich vor Veröffentlichung ihrer Bekanntmachungen nicht mit dem Videolan-Projekt in Verbindung gesetzt.

Das widerspreche zwar den eigenen Richtlinien von Mitre, geschehe laut Aussage der VLC-Entwickler jedoch schon seit Jahren. Ebenso sei auch das NIST nicht kooperationsbereit und gebe dem Videolan-Projekt nicht die Möglichkeit, falsche Informationen in deren Sicherheitswarnungen zu korrigieren. Auch auf eine aktuelle Anfrage zu dem Fehler hätten weder Mitre noch das NIST reagiert.

Für das gemeinnützige Videolan-Projekt ist solch ein Verhalten offizieller Stellen sowie auch vieler Medien besonders ärgerlich, da das Team aus Freiwilligen eben kaum Möglichkeiten hat, den dadurch angerichteten Schaden an der öffentlichen Wahrnehmung des Projekts zu beheben.

Nachtrag vom 25. Juli 2019, 8:42 Uhr

Das Cert Bund hat seine Risikobewertung für den ursprünglichen Fehler inzwischen erneut nach unten korrigiert und hält das Risiko der Lücke nun nur noch für niedrig. Auch das Nist hat seinen Bericht zu dem Fehler nun geändert und bewertet die Lücke nur noch als mittelschwer. Die US-Behörde verweist außerdem darauf, dass der Fehler in der Libebml vor Version 1.3.6 gesteckt hat und der Fehler seit Version 3.0.3 im VLC-Player behoben ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Videolan: Eine VLC-Lücke, die keine ist
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 49,99€ + Versand (Bestpreis)
  2. (aktuell u. a. Corsair Gaming Sabre Maus für 24,99€, Apacer AS340 120 GB SSD für 18,29€)
  3. (u. a. TESO: Greymor 49,49€, Warhammer 40.000 Mechanicus für 13,99€, Pillars of Eternity für...
  4. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...

Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Frostwind 27. Jul 2019

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...


Folgen Sie uns
       


Eigene Deep Fakes mit DeepFaceLab - Tutorial

Wir zeigen im Video, wie man mit DeepFaceLab arbeitet.

Eigene Deep Fakes mit DeepFaceLab - Tutorial Video aufrufen
Amazon, Netflix und Sky: Disney bringt 2020 den großen Umbruch beim Videostreaming
Amazon, Netflix und Sky
Disney bringt 2020 den großen Umbruch beim Videostreaming

In diesem Jahr wird sich der Video-Streaming-Markt in Deutschland stark verändern. Der Start von Disney+ setzt Netflix, Amazon und Sky gehörig unter Druck. Die ganz großen Umwälzungen geschehen vorerst aber woanders.
Eine Analyse von Ingo Pakalski

  1. Peacock NBC Universal setzt gegen Netflix auf Gratis-Streaming
  2. Joyn Plus+ Probleme bei der Kündigung
  3. Android TV Magenta-TV-Stick mit USB-Anschluss vergünstigt erhältlich

Fitnesstracker im Test: Aldi sportlich abgeschlagen hinter Honor und Mi Band 4
Fitnesstracker im Test
Aldi sportlich abgeschlagen hinter Honor und Mi Band 4

Alle kosten um die 30 Euro, haben ähnliche Funktionen - trotzdem gibt es bei aktuellen Fitnesstrackern von Aldi, Honor und Xiaomi spürbare Unterschiede. Als größte Stärke des Geräts von Aldi empfanden wir kurioserweise eine technische Schwäche.
Von Peter Steinlechner

  1. Wearable Acer und Vatikan präsentieren smarten Rosenkranz
  2. Apple Watch Series 5 im Test Endlich richtungsweisend
  3. Suunto 5 Sportuhr mit schlauem Akku vorgestellt

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

    •  /