• IT-Karriere:
  • Services:

Videolan: Eine VLC-Lücke, die keine ist

Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut.

Artikel veröffentlicht am ,
Cyber-Panik rund um den VLC-Player
Cyber-Panik rund um den VLC-Player (Bild: Benjamin Sterbenz/Golem.de)

Vor rund vier Wochen ist ein Fehler an die Entwickler des VLC-Players gemeldet worden, der diesen angeblich zum Absturz bringt. Die US-Behörde NIST hat dies anschließend als extrem kritische Sicherheitslücke (CVE-2019-13615) eingestuft und auch das Cert Bund hat den Fehler zunächst mit einem hohen Risiko bewertet. Viele verschiedene Medien haben diese Warnungen offenbar ungeprüft übernommen. Das Videolan-Projekt beschwert sich nun öffentlich über die falschen Darstellungen - wohl zu Recht.

Inhalt:
  1. Videolan: Eine VLC-Lücke, die keine ist
  2. Deutliche Kritik an Behörden und Medien

Anders als in dem ursprünglichen Bugreport dargelegt, stürzt der VLC-Player mit der aktuellen Version 3.0.7.1 aber nicht ab. Die Entwickler aus dem Videolan-Projekt haben entsprechend Probleme, den Fehler überhaupt nachvollziehen zu können, wie aus der Diskussion im Bugtracker des Projekts hervorgeht.

Auch wir können einen Absturz des VLC-Players mit der im Bugtracker bereitgestellten Datei nicht nachstellen. Die Mühe, den Fehler zu verifizieren und nachzustellen, haben sich aber offenbar weder die Behörden noch die vielen Medien gemacht, die inzwischen über den Fehler im VLC-Player berichtet haben.

Das Videolan-Projekt geht inzwischen davon aus, dass sich der von dem Ersteller des Berichts vermeintlich gefundene Fehler in der Bibliothek Libebml aus dem Matroska-Projekt befindet. Diese nutzt der VLC-Player lediglich als Abhängigkeit, ebenso wie einige andere freie Multimediaprojekte, wie etwa FFMpeg oder Gstreamer.

Stellenmarkt
  1. LORENZ Life Sciences Group, Frankfurt am Main
  2. ING-DiBa AG, Frankfurt

Das Matroska-Projekt weist aber explizit darauf hin, dass das gemeldete Problem schon vor über einem Jahr behoben worden ist. Dieses Update hat auch das Videolan-Projekt für seine offiziellen Builds seit Version 3.0.3 übernommen. Einige Linux-Distributionen scheinen das Update jedoch noch nicht an ihre Nutzer ausgerollt zu haben. Ein akute und gefährliche Sicherheitslücke - wie von vielen Medien berichtet - existiert mit aktuellen Versionen des VLC-Players also nicht.

Speicherleck in aktueller Version

Wie aus dem VLC-Bugtracker darüber hinaus hervorgeht, haben die Videolan-Entwickler mit der bereitgestellten Datei jedoch ein Speicherleck ausfindig machen können. Unter Windows und Linux führt das Ausführen der Datei in einer Schleife zu einem immer wiederkehrenden Speicherleck, so dass der VLC-Player nicht mehr genutzt werden kann. Unter Linux wird der Prozess des VLC-Players irgendwann vom Out-of-Memory-Killer des Kernels zwangsweise beendet.

Dieses fehlerhafte Verhalten ließe sich als Denial-of-Service-Angriff auf den VLC-Player ausnutzen. Dazu müssten Nutzer aber dazu gebracht werden, die speziell manipulierte Datei eben in einer Schleife auszuführen. Und selbst dann lässt sich der VLC-Player einfach über das Betriebssystem beenden und danach weiter wie gewohnt verwenden. Eine gravierende Sicherheitslücke ist auch das nicht. Die Behörden und die Berichterstattung vieler Medien scheint das aber kaum zu interessieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Deutliche Kritik an Behörden und Medien 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 96,51€

Aki-San 30. Jul 2019

Danke! :) Werde ich mal reinschauen. Ich hatte bisher mit meinem CCCP/HC Pack absolut...

Naresea 28. Jul 2019

Ich würde den Check der URL weglassen. Wenn es keine Mediendatei ist, wird sie...

Naresea 28. Jul 2019

Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er...

Naresea 28. Jul 2019

Also zumindest das "I" aus MINT sollte mit IT Know-How einhergehen. Und beim "T" kann...

Frostwind 27. Jul 2019

Und genau diese Leute werden, falls sie Linux einsetzen, aller Wahrscheinlicheinlichkeit...


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    Ryzen 7 Mobile 4700U im Test: Der bessere Ultrabook-i7
    Ryzen 7 Mobile 4700U im Test
    Der bessere Ultrabook-i7

    Wir testen AMDs Ryzen-Renoir mit 10 bis 35 Watt sowie mit DDR4-3200 und LPDDR4X-4266. Die Benchmark-Resultate sind beeindruckend.
    Ein Test von Marc Sauter

    1. Renoir Asrock baut 1,92-Liter-Mini-PC für neue AMD-CPUs
    2. Ryzen 4000G (Renoir) AMD bringt achtkernige Desktop-APUs mit Grafikeinheit
    3. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM

    Arlt-Komplett-PC ausprobiert: Mit Ryzen Pro wird der Büro-PC sparsam und flott
    Arlt-Komplett-PC ausprobiert
    Mit Ryzen Pro wird der Büro-PC sparsam und flott

    Acht Kerne, schnelle integrierte Grafik, NVMe-SSD direkt an der CPU: Ein mit Ryzen Pro 4000G ausgestatteter Rechner ist vielseitig.
    Ein Hands-on von Marc Sauter

    1. Ryzen HPs Gaming-Notebook lässt die Wahl zwischen AMD und Intel
    2. Udoo Bolt Gear Mini-PC stopft Ryzen-CPU in 13 x 13 Zentimeter
    3. Vermeer AMD soll Ryzen 4000 mit 5 nm statt 7 nm produzieren

      •  /