Abo
  • IT-Karriere:

Videolan: Eine VLC-Lücke, die keine ist

Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut.

Artikel veröffentlicht am ,
Cyber-Panik rund um den VLC-Player
Cyber-Panik rund um den VLC-Player (Bild: Benjamin Sterbenz/Golem.de)

Vor rund vier Wochen ist ein Fehler an die Entwickler des VLC-Players gemeldet worden, der diesen angeblich zum Absturz bringt. Die US-Behörde NIST hat dies anschließend als extrem kritische Sicherheitslücke (CVE-2019-13615) eingestuft und auch das Cert Bund hat den Fehler zunächst mit einem hohen Risiko bewertet. Viele verschiedene Medien haben diese Warnungen offenbar ungeprüft übernommen. Das Videolan-Projekt beschwert sich nun öffentlich über die falschen Darstellungen - wohl zu Recht.

Inhalt:
  1. Videolan: Eine VLC-Lücke, die keine ist
  2. Deutliche Kritik an Behörden und Medien

Anders als in dem ursprünglichen Bugreport dargelegt, stürzt der VLC-Player mit der aktuellen Version 3.0.7.1 aber nicht ab. Die Entwickler aus dem Videolan-Projekt haben entsprechend Probleme, den Fehler überhaupt nachvollziehen zu können, wie aus der Diskussion im Bugtracker des Projekts hervorgeht.

Auch wir können einen Absturz des VLC-Players mit der im Bugtracker bereitgestellten Datei nicht nachstellen. Die Mühe, den Fehler zu verifizieren und nachzustellen, haben sich aber offenbar weder die Behörden noch die vielen Medien gemacht, die inzwischen über den Fehler im VLC-Player berichtet haben.

Das Videolan-Projekt geht inzwischen davon aus, dass sich der von dem Ersteller des Berichts vermeintlich gefundene Fehler in der Bibliothek Libebml aus dem Matroska-Projekt befindet. Diese nutzt der VLC-Player lediglich als Abhängigkeit, ebenso wie einige andere freie Multimediaprojekte, wie etwa FFMpeg oder Gstreamer.

Stellenmarkt
  1. ifp - Institut für Managementdiagnostik Will & Partner GmbH & Co. KG, Großraum München
  2. Medion AG, Essen

Das Matroska-Projekt weist aber explizit darauf hin, dass das gemeldete Problem schon vor über einem Jahr behoben worden ist. Dieses Update hat auch das Videolan-Projekt für seine offiziellen Builds seit Version 3.0.3 übernommen. Einige Linux-Distributionen scheinen das Update jedoch noch nicht an ihre Nutzer ausgerollt zu haben. Ein akute und gefährliche Sicherheitslücke - wie von vielen Medien berichtet - existiert mit aktuellen Versionen des VLC-Players also nicht.

Speicherleck in aktueller Version

Wie aus dem VLC-Bugtracker darüber hinaus hervorgeht, haben die Videolan-Entwickler mit der bereitgestellten Datei jedoch ein Speicherleck ausfindig machen können. Unter Windows und Linux führt das Ausführen der Datei in einer Schleife zu einem immer wiederkehrenden Speicherleck, so dass der VLC-Player nicht mehr genutzt werden kann. Unter Linux wird der Prozess des VLC-Players irgendwann vom Out-of-Memory-Killer des Kernels zwangsweise beendet.

Dieses fehlerhafte Verhalten ließe sich als Denial-of-Service-Angriff auf den VLC-Player ausnutzen. Dazu müssten Nutzer aber dazu gebracht werden, die speziell manipulierte Datei eben in einer Schleife auszuführen. Und selbst dann lässt sich der VLC-Player einfach über das Betriebssystem beenden und danach weiter wie gewohnt verwenden. Eine gravierende Sicherheitslücke ist auch das nicht. Die Behörden und die Berichterstattung vieler Medien scheint das aber kaum zu interessieren.

Deutliche Kritik an Behörden und Medien 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Elektroauto von VW
    Es hat sich bald ausgegolft
  2. IT-Freelancer
    Paradiesische Zustände
  3. Fredrick Brennan
    "Ich bereue es, 8chan gegründet zu haben"
  4. Analogue Pocket
    Neues Handheld für Gameboy-Spiele und mehr vorgestellt
  5. H2.City Gold
    Caetanobus stellt Brennstoffzellenbus mit Toyota-Technik vor
Anzeige
Hardware-Angebote
  1. 64,90€ (Bestpreis!)
  2. (Samsung 970 EVO PLus 1 TB für 204,90€ oder Samsung 860 EVO 1 TB für 135,90€)
  3. 99,00€
Kommentarübersicht
Re: Danke an alle, die an freier Software wie VLC...
Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Re: ++
Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Re: Danke für die Richtigstellung!
Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Re: viele sogen. "IT-Journalisten" haben kein...
Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Re: Naja
Frostwind 27. Jul 2019

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...

Folgen Sie uns
       
Google Pixel 4 und Pixel 4 XL ausprobiert

Google hat seine neuen Pixel-Smartphones vorgestellt: Im ersten Hands on machen das Pixel 4 und das Pixel 4 XL einen guten Eindruck.

Google Pixel 4 und Pixel 4 XL ausprobiert Video aufrufen
iPad
iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads
Linux-Kernel
Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen
Erneuerbare Energien
Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /