VLC-Player: Videolan will künftig eigene CVEs vergeben

Nach den Falschmeldungen um eine angeblich kritische Sicherheitslücke im VLC-Player wollen die Entwickler des Videolan-Projekts künftig eigene CVE-Nummern vergeben.

Artikel veröffentlicht am ,
Das Videolan-Projekt will CNA werden.
Das Videolan-Projekt will CNA werden. (Bild: Luke Jones/Flickr.com/CC-BY 2.0)

"Wie einige von euch vorgeschlagen haben, werden wir versuchen, unsere eigene CNA für VLC zu werden", schreibt das Videolan-Projekt auf seinem offiziellen Twitter-Account. CNA steht dabei für CVE Numbering Authority, dabei handelt es sich um Organisationen, die für ihre Produkte eigene CVE-Nummern vergeben können. Damit lassen sich Sicherheitslücken in Software durch ihre Hersteller eindeutig kennzeichnen.

Stellenmarkt
  1. Informatiker*in Entwicklung von Simulationssoftware
    Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut EMI, Efringen-Kirchen, Freiburg
  2. Softwarearchitekt (m/w/d) in einem Cloud-Native-Stack
    PROSOZ Herten GmbH, Herten (Ruhrgebiet)
Detailsuche

Dass sich das Videolan-Projekt darum bemühen möchte, eine CNA zu werden, ist offenbar eine rein pragmatische Erwägung. Auf Twitter heißt es als Erklärung dazu: "Dies sollte Probleme wie das, das wir gerade hatten, vermeiden". In der vergangenen Woche warnten das Cert-Bund sowie die US-Behörde Nist vor einer vermeintlich extrem kritischen Sicherheitslücke im VLC-Player.

Viele verschiedene Medien haben diese Warnungen ungeprüft übernommen und sogar die Deinstallation des VLC-Players empfohlen. Dabei sind die Auswirkungen des tatsächlichen Fehlers wesentlich weniger schlimm, als die Behörden zunächst haben glauben lassen und das Videolan-Team hat den Fehler darüber hinaus bereits vor mehr als einem Jahr behoben. Das Nist und das Cert-Bund haben ihre Warnungen inzwischen korrigiert.

Eigene CVE-Nummern als Problemlösung

Das Videolan-Projekt schrieb zu dem Vorgang vergangene Woche außerdem, weder von den Behörden noch von der Organisation Mitre kontaktiert worden zu sein. Letztere vergibt die CVE-Nummern und führt eine Einstufung der Schwere einer Sicherheitslücke durch.

Golem Karrierewelt
  1. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    24.-28.10.2022, virtuell
  2. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    27./28.10.2022, Virtuell
Weitere IT-Trainings

Als CNA könnte das Videolan-Projekt die Einstufung und Bewertung einer Sicherheitslücke in seiner eigenen Software selbst durchführen und damit völlig übertriebene Warnungen seitens der Behörden vermeiden. Das Projekt will dabei die CNA für den VLC-Player selbst sowie möglicherweise auch für einige weitere Multimediabibliotheken werden. Letzteres ist wichtig, da auch die vermeintliche Lücke nicht im VLC-Player selbst steckte, sondern in einer externen Abhängigkeit aus dem Matroska-Projekt.

Dass Open-Source-Projekte als CNA agieren, ist nichts Neues. In der Liste der CNAs finden sich etwa Debian, FreeBSD, die Document Foundation für Libreoffice, Kubernetes, PHP sowie auch kommerzielle Linux-Distributoren. Das Videolan-Projekt sollte also gute Chancen haben, künftig auch als CNA aufzutreten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Potential Motors
Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt

Potential Motors hat mit dem Adventure 1 ein kleines Offroad-Wohnmobil mit E-Motoren vorgestellt, die insgesamt 450 kW Leistung erbringen.

Potential Motors: Winziges E-Offroad-Wohnmobil mit 450 kW vorgestellt
Artikel
  1. Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
    Minority Report wird 20 Jahre alt
    Die Zukunft wird immer gegenwärtiger

    Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
    Von Peter Osteried

  2. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  3. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /