Original-URL des Artikels: https://www.golem.de/news/fossa-sicherheitsluecken-im-vlc-player-geschlossen-1906-141820.html    Veröffentlicht: 11.06.2019 14:40    Kurz-URL: https://glm.io/141820

Fossa

Sicherheitslücken im VLC-Player geschlossen

Über ein Bug-Bounty-Programm der EU wurden mehrere Sicherheitslücken im VLC-Player gemeldet und geschlossen. Mit den Bounty Huntern habe man nicht nur gute Erfahrungen gemacht, schreibt ein VLC-Entwickler.

Die neue Version 3.0.7 des VLC-Players schließt etliche Sicherheitslücken. Diese wurden im Rahmen des EU-finanzierten Bug-Bounty-Progamms Fossa entdeckt. Das Programm wurde von den EU-Abgeordneten Julia Reda (Piraten, Deutschland) und Max Andersson (Grüne, Schweden) in Reaktion auf die Heartbleed genannte Sicherheitslücke in OpenSSL initiiert.

"Diese Version ist etwas Besonderes, da mehr Sicherheitsprobleme behoben wurden als bei jeder anderen Version von VLC", schreibt einer der VLC-Hauptentwickler, Jean-Baptiste Kempf, in einem Blogeintrag. Insgesamt seien 33 Sicherheitslücken mit dem Update geschlossen worden, ein Stack Buffer Overflow und ein Out-of-Bound Write seinen besonders schwerwiegend gewesen. Letzterer sei nicht im VLC-eigenen Code, sondern in der von ihm verwendeten faad2-Bibliothek gefunden worden. Diese werde zudem aktuell nicht gepflegt.

21 Sicherheitslücken stuft das Open-Source-Projekt als mittelschwer ein. Diese sollen sich mit aktivierter Speicherverwürfelung (Address Space Layout Randomization, ASLR) nicht ausnutzen lassen. Die übrigen zehn Sicherheitslücken ließen sich nicht ausnutzen und seien daher mit dem Gefahrenpotential gering eingestuft worden.

Erfahrungen mit Bug Bounties durchwachsen

In dem Blogbeitrag beschreibt Kempf die Erfahrungen mit dem Bug-Bounty-Programm. Die VLC-Entwickler hätten es mit sehr unterschiedlichen Hackern zu tun gehabt. "So viele Scriptkiddies und Leute, die uns erzählten, dass der VLC-Quellcode öffentlich einsehbar sei ...", schreibt Kempf.

Man habe es mit den "nettesten Typen" zu tun gehabt, denen eine Zusammenarbeit wichtig gewesen sei und die sogar Patches für die gefundenen Sicherheitsprobleme geliefert hätten. Die Entwickler hätten es aber auch mit Leuten zu tun gehabt, die sie als "klassisches Sicherheits-Arschloch" bezeichneten. Diese seien unangenehm, beleidigend und ungeduldig gewesen, schreibt Kempf. Teilweise hätten sie versucht, "das Bounty zweimal für den gleichen Bug zu bekommen oder das an andere Programme gemeldet (Android One), um mehr Geld zu bekommen".

 (mtr)


Verwandte Artikel:
Dav1d: Freier AV1-Decoder schafft fast überall flüssiges Full-HD   
(06.03.2019, https://glm.io/139827 )
SSH-Software: Kritische Sicherheitslücken in Putty   
(18.03.2019, https://glm.io/140081 )
Sicherheitslücke: Exim-Sicherheitslücke gefährlicher als gedacht   
(06.06.2019, https://glm.io/141729 )
Sicherheitslücke: VIM-Modelines erlauben Codeausführung   
(05.06.2019, https://glm.io/141710 )
Android: Juni-Update beseitigt acht kritische Fehler   
(05.06.2019, https://glm.io/141696 )

© 1997–2019 Golem.de, https://www.golem.de/