Abo
  • IT-Karriere:

Videolan: Eine VLC-Lücke, die keine ist

Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut.

Artikel veröffentlicht am ,
Cyber-Panik rund um den VLC-Player
Cyber-Panik rund um den VLC-Player (Bild: Benjamin Sterbenz/Golem.de)

Vor rund vier Wochen ist ein Fehler an die Entwickler des VLC-Players gemeldet worden, der diesen angeblich zum Absturz bringt. Die US-Behörde NIST hat dies anschließend als extrem kritische Sicherheitslücke (CVE-2019-13615) eingestuft und auch das Cert Bund hat den Fehler zunächst mit einem hohen Risiko bewertet. Viele verschiedene Medien haben diese Warnungen offenbar ungeprüft übernommen. Das Videolan-Projekt beschwert sich nun öffentlich über die falschen Darstellungen - wohl zu Recht.

Inhalt:
  1. Videolan: Eine VLC-Lücke, die keine ist
  2. Deutliche Kritik an Behörden und Medien

Anders als in dem ursprünglichen Bugreport dargelegt, stürzt der VLC-Player mit der aktuellen Version 3.0.7.1 aber nicht ab. Die Entwickler aus dem Videolan-Projekt haben entsprechend Probleme, den Fehler überhaupt nachvollziehen zu können, wie aus der Diskussion im Bugtracker des Projekts hervorgeht.

Auch wir können einen Absturz des VLC-Players mit der im Bugtracker bereitgestellten Datei nicht nachstellen. Die Mühe, den Fehler zu verifizieren und nachzustellen, haben sich aber offenbar weder die Behörden noch die vielen Medien gemacht, die inzwischen über den Fehler im VLC-Player berichtet haben.

Das Videolan-Projekt geht inzwischen davon aus, dass sich der von dem Ersteller des Berichts vermeintlich gefundene Fehler in der Bibliothek Libebml aus dem Matroska-Projekt befindet. Diese nutzt der VLC-Player lediglich als Abhängigkeit, ebenso wie einige andere freie Multimediaprojekte, wie etwa FFMpeg oder Gstreamer.

Stellenmarkt
  1. Lidl Digital, Neckarsulm, Hückelhoven, Venlo (Niederlande)
  2. ITEOS, verschiedene Standorte

Das Matroska-Projekt weist aber explizit darauf hin, dass das gemeldete Problem schon vor über einem Jahr behoben worden ist. Dieses Update hat auch das Videolan-Projekt für seine offiziellen Builds seit Version 3.0.3 übernommen. Einige Linux-Distributionen scheinen das Update jedoch noch nicht an ihre Nutzer ausgerollt zu haben. Ein akute und gefährliche Sicherheitslücke - wie von vielen Medien berichtet - existiert mit aktuellen Versionen des VLC-Players also nicht.

Speicherleck in aktueller Version

Wie aus dem VLC-Bugtracker darüber hinaus hervorgeht, haben die Videolan-Entwickler mit der bereitgestellten Datei jedoch ein Speicherleck ausfindig machen können. Unter Windows und Linux führt das Ausführen der Datei in einer Schleife zu einem immer wiederkehrenden Speicherleck, so dass der VLC-Player nicht mehr genutzt werden kann. Unter Linux wird der Prozess des VLC-Players irgendwann vom Out-of-Memory-Killer des Kernels zwangsweise beendet.

Dieses fehlerhafte Verhalten ließe sich als Denial-of-Service-Angriff auf den VLC-Player ausnutzen. Dazu müssten Nutzer aber dazu gebracht werden, die speziell manipulierte Datei eben in einer Schleife auszuführen. Und selbst dann lässt sich der VLC-Player einfach über das Betriebssystem beenden und danach weiter wie gewohnt verwenden. Eine gravierende Sicherheitslücke ist auch das nicht. Die Behörden und die Berichterstattung vieler Medien scheint das aber kaum zu interessieren.

Deutliche Kritik an Behörden und Medien 
  1. 1
  2. 2
  3.  


Anzeige
Top-Angebote
  1. (u. a. Nikon D5600 Kit 18-55 mm + Tasche + 16 GB für 444€ statt 525€ ohne Tasche und...
  2. (heute u. a. iRobot Roomba 960 für 399€ statt ca. 460€ im Vergleich)
  3. 399€ + Versand oder kostenlose Marktabholung (Vergleichspreis ab 443€)

Aki-San 30. Jul 2019 / Themenstart

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Naresea 28. Jul 2019 / Themenstart

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Naresea 28. Jul 2019 / Themenstart

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Naresea 28. Jul 2019 / Themenstart

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Frostwind 27. Jul 2019 / Themenstart

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...

Kommentieren


Folgen Sie uns
       


Boses Noise Cancelling Headphones 700 im Vergleich

Wir haben die ANC-Leistung von drei ANC-Kopfhörern miteinander verglichen. Wir ließen Boses neue Noise Cancelling Headphones 700 gegen Boses Quiet Comfort 35 II und Sonys WH-1000XM3 antreten.

Boses Noise Cancelling Headphones 700 im Vergleich Video aufrufen
Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

IT-Arbeitsmarkt: Jobgarantie gibt es nie
IT-Arbeitsmarkt
Jobgarantie gibt es nie

Deutsche Unternehmen stellen weniger ein und entlassen mehr. Es ist zwar Jammern auf hohem Niveau, aber Fakt ist: Die Konjunktur lässt nach, was Arbeitsplätze gefährdet. Auch die von IT-Experten, die überall gesucht werden?
Ein Bericht von Peter Ilg

  1. IT-Standorte Wie kann Leipzig Hypezig bleiben?
  2. IT-Fachkräftemangel Arbeit ohne Ende
  3. IT-Forensikerin Beweise sichern im Faradayschen Käfig

Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor

    •  /