Bedrohungen

Angeblich kritische Lücke im VLC-Player offenbar nur halb so wild

von - 24.07.2019
VLC Player Logo
Foto: Richard C. G. Øiestad / VideoLAN
BSI und CERT hatten vor einer kritischen Sicherheitslücke im VLC Media Player gewarnt. Sogar mit der Empfehlung, das Programm zu deinstallieren. Nun entpuppt sich die Warnung als Sturm im Wasserglas.
Die schwerwiegende Sicherheitslücke im VLC Media Player, vor der BSI und CERT gewarnt hatten, ist offenbar entweder weit weniger schlimm als zunächst behauptet oder sogar auf den allermeisten Systemen überhaupt nicht existent.
Die VideoLAN-Entwickler halten sowohl in ihren Kommentaren im Bugtracker als auch auf Twitter daran fest, dass sie die angebliche Sicherheitslücke nicht reproduzieren könnten. Schuld sei eine externe (also nicht von VideoLAN stammende) Softwarebibliothek namens libebml, die jedoch vor über einem Jahr (libedml Version 1.3.6) bereits gepatcht worden sei. Seit Version 3.0.3 des VLC Media Players werde die korrekte, reparierte Version dieser Bibliothek ausgeliefert:

Alles Folge eines Irrtums?

Zur Zeit sieht es so aus, als habe der Fehler mit der möglichen Remote-Code-Ausführung lediglich auf einem Computer mit einem älteren Ubuntu gezeigt werden können. Auf diesem war offenbar die (nicht von VideoLAN stammende) Softwarekomponente libebml in der verwundbaren Version vorhanden.
Jean-Baptiste Kempf, der Chef-Entwickler bei VideoLAN,fordert in seinem vorläufig letzten Kommentar im Bugtracker entsprechend: "Merke: Wenn du eine Sicherheitslücke meldest, update wenigstens vorher deine Linux-Distribution."
VLC Media Player Downloads:
Verwandte Themen