Videolan: Eine VLC-Lücke, die keine ist

Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut.

Artikel veröffentlicht am ,
Cyber-Panik rund um den VLC-Player
Cyber-Panik rund um den VLC-Player (Bild: Benjamin Sterbenz/Golem.de)

Vor rund vier Wochen ist ein Fehler an die Entwickler des VLC-Players gemeldet worden, der diesen angeblich zum Absturz bringt. Die US-Behörde NIST hat dies anschließend als extrem kritische Sicherheitslücke (CVE-2019-13615) eingestuft und auch das Cert Bund hat den Fehler zunächst mit einem hohen Risiko bewertet. Viele verschiedene Medien haben diese Warnungen offenbar ungeprüft übernommen. Das Videolan-Projekt beschwert sich nun öffentlich über die falschen Darstellungen - wohl zu Recht.

Inhalt:
  1. Videolan: Eine VLC-Lücke, die keine ist
  2. Deutliche Kritik an Behörden und Medien

Anders als in dem ursprünglichen Bugreport dargelegt, stürzt der VLC-Player mit der aktuellen Version 3.0.7.1 aber nicht ab. Die Entwickler aus dem Videolan-Projekt haben entsprechend Probleme, den Fehler überhaupt nachvollziehen zu können, wie aus der Diskussion im Bugtracker des Projekts hervorgeht.

Auch wir können einen Absturz des VLC-Players mit der im Bugtracker bereitgestellten Datei nicht nachstellen. Die Mühe, den Fehler zu verifizieren und nachzustellen, haben sich aber offenbar weder die Behörden noch die vielen Medien gemacht, die inzwischen über den Fehler im VLC-Player berichtet haben.

Das Videolan-Projekt geht inzwischen davon aus, dass sich der von dem Ersteller des Berichts vermeintlich gefundene Fehler in der Bibliothek Libebml aus dem Matroska-Projekt befindet. Diese nutzt der VLC-Player lediglich als Abhängigkeit, ebenso wie einige andere freie Multimediaprojekte, wie etwa FFMpeg oder Gstreamer.

Stellenmarkt
  1. Sachbearbeiter (w/m/d) IT-Betreuung und Teamassistenz Schulen
    KommunalBIT AöR, Fürth
  2. Group CISO (m/w/d)
    Hays AG, Düsseldorf
Detailsuche

Das Matroska-Projekt weist aber explizit darauf hin, dass das gemeldete Problem schon vor über einem Jahr behoben worden ist. Dieses Update hat auch das Videolan-Projekt für seine offiziellen Builds seit Version 3.0.3 übernommen. Einige Linux-Distributionen scheinen das Update jedoch noch nicht an ihre Nutzer ausgerollt zu haben. Ein akute und gefährliche Sicherheitslücke - wie von vielen Medien berichtet - existiert mit aktuellen Versionen des VLC-Players also nicht.

Speicherleck in aktueller Version

Wie aus dem VLC-Bugtracker darüber hinaus hervorgeht, haben die Videolan-Entwickler mit der bereitgestellten Datei jedoch ein Speicherleck ausfindig machen können. Unter Windows und Linux führt das Ausführen der Datei in einer Schleife zu einem immer wiederkehrenden Speicherleck, so dass der VLC-Player nicht mehr genutzt werden kann. Unter Linux wird der Prozess des VLC-Players irgendwann vom Out-of-Memory-Killer des Kernels zwangsweise beendet.

Dieses fehlerhafte Verhalten ließe sich als Denial-of-Service-Angriff auf den VLC-Player ausnutzen. Dazu müssten Nutzer aber dazu gebracht werden, die speziell manipulierte Datei eben in einer Schleife auszuführen. Und selbst dann lässt sich der VLC-Player einfach über das Betriebssystem beenden und danach weiter wie gewohnt verwenden. Eine gravierende Sicherheitslücke ist auch das nicht. Die Behörden und die Berichterstattung vieler Medien scheint das aber kaum zu interessieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Deutliche Kritik an Behörden und Medien 
  1. 1
  2. 2
  3.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Dav1d
Freier AV1-Decoder schafft fast überall flüssiges Full-HD
artikel-bild
Videolan
VLC-Player erreicht mehr als 3 Milliarden Downloads
artikel-bild
Fossa
Sicherheitslücken im VLC-Player geschlossen
artikel-bild
Schwachstelle
MKV-Dateien können Android einfrieren
artikel-bild
Security
Gefährliche Schwachstellen im UEFI-Bios
Meistgelesen
artikel-bild
New World im Test
Amazon liefert ordentlich Abenteuer
artikel-bild
Pornoplattform
Journalisten wollen Xhamster-Eigentümer gefunden haben
artikel-bild
Minidisc gegen DCC
Der vergessene Formatkrieg der 90er-Jahre
artikel-bild
Whatsapp
Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
artikel-bild
Datenschutz
Google weiß fast alles - aber nicht über mich
Kommentarübersicht
Re: Danke an alle, die an freier Software wie VLC...
Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Re: ++
Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Re: Danke für die Richtigstellung!
Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Re: viele sogen. "IT-Journalisten" haben kein...
Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Re: Naja
Frostwind 27. Jul 2019

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...

Aktuell auf der Startseite von Golem.de
New World im Test
Amazon liefert ordentlich Abenteuer

Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
Von Peter Steinlechner

New World im Test: Amazon liefert ordentlich Abenteuer
Artikel
  1. Nasa: Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet
    Nasa
    Sonde Lucy erfolgreich zu Jupiter-Asteroiden gestartet

    Erstmals sollen Asteroiden in der Umlaufbahn des Jupiter untersucht werden. Der Start der Raumsonde Lucy ist laut Nasa geglückt.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /