VLC-Player: Videolan will künftig eigene CVEs vergeben

"Wie einige von euch vorgeschlagen haben, werden wir versuchen, unsere eigene CNA für VLC zu werden" , schreibt das Videolan-Projekt auf seinem offiziellen Twitter-Account(öffnet im neuen Fenster) . CNA steht dabei für CVE Numbering Authority, dabei handelt es sich um Organisationen, die für ihre Produkte eigene CVE-Nummern vergeben können. Damit lassen sich Sicherheitslücken in Software durch ihre Hersteller eindeutig kennzeichnen.

Dass sich das Videolan-Projekt darum bemühen möchte, eine CNA zu werden, ist offenbar eine rein pragmatische Erwägung. Auf Twitter heißt es als Erklärung dazu: "Dies sollte Probleme wie das, das wir gerade hatten, vermeiden" . In der vergangenen Woche warnten das Cert-Bund sowie die US-Behörde Nist vor einer vermeintlich extrem kritischen Sicherheitslücke im VLC-Player .

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Microsoft 365 Security: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Exklusiv: Ethical Hacking : Einführung in Techniken und Methoden (E-Learning)

zum Kurs

Viele verschiedene Medien haben diese Warnungen ungeprüft übernommen und sogar die Deinstallation des VLC-Players empfohlen. Dabei sind die Auswirkungen des tatsächlichen Fehlers wesentlich weniger schlimm, als die Behörden zunächst haben glauben lassen und das Videolan-Team hat den Fehler darüber hinaus bereits vor mehr als einem Jahr behoben. Das Nist und das Cert-Bund haben ihre Warnungen inzwischen korrigiert.

Eigene CVE-Nummern als Problemlösung

Das Videolan-Projekt schrieb zu dem Vorgang vergangene Woche außerdem, weder von den Behörden noch von der Organisation Mitre kontaktiert worden zu sein. Letztere vergibt die CVE-Nummern und führt eine Einstufung der Schwere einer Sicherheitslücke durch.

Als CNA könnte das Videolan-Projekt die Einstufung und Bewertung einer Sicherheitslücke in seiner eigenen Software selbst durchführen und damit völlig übertriebene Warnungen seitens der Behörden vermeiden. Das Projekt will dabei die CNA für den VLC-Player selbst sowie möglicherweise auch für einige weitere Multimediabibliotheken werden. Letzteres ist wichtig, da auch die vermeintliche Lücke nicht im VLC-Player selbst steckte, sondern in einer externen Abhängigkeit aus dem Matroska-Projekt.

Dass Open-Source-Projekte als CNA agieren, ist nichts Neues. In der Liste der CNAs(öffnet im neuen Fenster) finden sich etwa Debian, FreeBSD, die Document Foundation für Libreoffice, Kubernetes, PHP sowie auch kommerzielle Linux-Distributoren. Das Videolan-Projekt sollte also gute Chancen haben, künftig auch als CNA aufzutreten.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.