• IT-Karriere:
  • Services:

VLC-Player: Videolan will künftig eigene CVEs vergeben

Nach den Falschmeldungen um eine angeblich kritische Sicherheitslücke im VLC-Player wollen die Entwickler des Videolan-Projekts künftig eigene CVE-Nummern vergeben.

Artikel veröffentlicht am ,
Das Videolan-Projekt will CNA werden.
Das Videolan-Projekt will CNA werden. (Bild: Luke Jones/Flickr.com/CC-BY 2.0)

"Wie einige von euch vorgeschlagen haben, werden wir versuchen, unsere eigene CNA für VLC zu werden", schreibt das Videolan-Projekt auf seinem offiziellen Twitter-Account. CNA steht dabei für CVE Numbering Authority, dabei handelt es sich um Organisationen, die für ihre Produkte eigene CVE-Nummern vergeben können. Damit lassen sich Sicherheitslücken in Software durch ihre Hersteller eindeutig kennzeichnen.

Stellenmarkt
  1. ekom21 - KGRZ Hessen, Darmstadt, Gießen, Kassel
  2. AOK Systems GmbH, verschiedene Standorte

Dass sich das Videolan-Projekt darum bemühen möchte, eine CNA zu werden, ist offenbar eine rein pragmatische Erwägung. Auf Twitter heißt es als Erklärung dazu: "Dies sollte Probleme wie das, das wir gerade hatten, vermeiden". In der vergangenen Woche warnten das Cert-Bund sowie die US-Behörde Nist vor einer vermeintlich extrem kritischen Sicherheitslücke im VLC-Player.

Viele verschiedene Medien haben diese Warnungen ungeprüft übernommen und sogar die Deinstallation des VLC-Players empfohlen. Dabei sind die Auswirkungen des tatsächlichen Fehlers wesentlich weniger schlimm, als die Behörden zunächst haben glauben lassen und das Videolan-Team hat den Fehler darüber hinaus bereits vor mehr als einem Jahr behoben. Das Nist und das Cert-Bund haben ihre Warnungen inzwischen korrigiert.

Eigene CVE-Nummern als Problemlösung

Das Videolan-Projekt schrieb zu dem Vorgang vergangene Woche außerdem, weder von den Behörden noch von der Organisation Mitre kontaktiert worden zu sein. Letztere vergibt die CVE-Nummern und führt eine Einstufung der Schwere einer Sicherheitslücke durch.

Als CNA könnte das Videolan-Projekt die Einstufung und Bewertung einer Sicherheitslücke in seiner eigenen Software selbst durchführen und damit völlig übertriebene Warnungen seitens der Behörden vermeiden. Das Projekt will dabei die CNA für den VLC-Player selbst sowie möglicherweise auch für einige weitere Multimediabibliotheken werden. Letzteres ist wichtig, da auch die vermeintliche Lücke nicht im VLC-Player selbst steckte, sondern in einer externen Abhängigkeit aus dem Matroska-Projekt.

Dass Open-Source-Projekte als CNA agieren, ist nichts Neues. In der Liste der CNAs finden sich etwa Debian, FreeBSD, die Document Foundation für Libreoffice, Kubernetes, PHP sowie auch kommerzielle Linux-Distributoren. Das Videolan-Projekt sollte also gute Chancen haben, künftig auch als CNA aufzutreten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 27,99€
  2. 29,99€
  3. 10,99€
  4. (u. a. Train Sim World 2020 für 9,99€, Train Simulator 2021 für 12,75€, Fishing Sim World...

Naresea 30. Jul 2019

Es gibt eben gerade KEINE Sicherheitslücke im VLC selber. Die Lücke existiert in einer...


Folgen Sie uns
       


Knights of the Old Republic (2003) - Golem retro_

Diverse Auszeichnungen zum Spiel des Jahres, hohe Verkaufszahlen und Begeisterung nicht nur unter reinen Star-Wars-Anhängern - wir spielen Kotor im Golem retro_.

Knights of the Old Republic (2003) - Golem retro_ Video aufrufen
Bestandsdatenauskunft: Experten fordern besseren Schutz von Nutzungsdaten
Bestandsdatenauskunft
Experten fordern besseren Schutz von Nutzungsdaten

Der Bundestag muss nach einem Gerichtsurteil die Bestandsdatenauskunft neu regeln. Doch Experten beklagen ein "absurdes Komplexitätsniveau".
Ein Bericht von Friedhelm Greis

  1. Verwaltung und KI Deutschland verschläft laut BDI-Präsident Digitalisierung
  2. Elektronische Beweise Europaparlament fordert Vetorecht bei Datenabfrage
  3. Datenschutz Google und Apple verbieten Tracking mit X-Mode-Code

Data-Mining: Wertvolle Informationen aus Datenhaufen ziehen
Data-Mining
Wertvolle Informationen aus Datenhaufen ziehen

Betreiber von Onlineshops wollen wissen, was sich verkauft und was nicht. Mit Data-Mining lassen sich aus den gesammelten Daten über Kunden solche und andere nützliche Informationen ziehen. Es birgt aber auch Risiken.
Von Boris Mayer


    Clubhouse: Plaudern in der Wohlfühl-Langeweile
    Clubhouse
    Plaudern in der Wohlfühl-Langeweile

    Gute Inhalte muss man bei Clubhouse momentan noch suchen. Fraglich ist, ob das Konzept - sinnvoll angewendet - wirklich so neu ist und ob es dafür eine neue App braucht.
    Ein IMHO von Tobias Költzsch

    1. CES 2021 So geht eine Messe in Pandemie-Zeiten
    2. USA Die falsche Toleranz im Silicon Valley muss endlich aufhören
    3. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona

      •  /