Willkommen |
|
myGully |
|
Links |
|
Forum |
|
|
|
|
24.07.19, 12:17
|
#1
|
Chuck Norris sein Vater
Registriert seit: Aug 2010
Beiträge: 6.107
Bedankt: 18.408
|
BSI und CERT warnen: Schwere Sicherheitslücke im VLC Media Player
Zitat:
Deutsche Sicherheitsexperten warnen vor einer Schwachstelle im weit verbreiteten VLC Media Player. Nutzer sollten das kostenlose Programm aktuell nicht mehr nutzen und auf Alternativen umsteigen.
Wegen einer Sicherheitslücke sollte der VLC Media Player aktuell nicht genutzt werden
VideoLAN
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] in der aktuellen Version 3.0.7.1 des VLC Media Players. Das Risiko sei als "hoch" zu bewerten, da die Schwachstelle das Ausführen beliebigen Codes ermögliche. Damit könnten Angreifer ein Computersystem übernehmen. Spezielle Zugriffsrechte oder eine Interaktion des Nutzers seien dafür nicht nötig - das macht die Sicherheitslücke so gefährlich.
Laut BSI und CERT betrifft die Schwachstelle die Programmversionen für Linux, UNIX (macOS) und Windows. Auf allen drei Systemen könnte eine manipulierte Videodatei einen Fehler im sogenannten MKV-Modul des Players ausnutzen und zu einem Speicherüberlauf führen. Dieses Modul ermöglicht dem Player, MKV-Dateien abzuspielen. Das Format, erkennbar an den Dateiendungen .mkv, .mka, .mks und .mk3d, unterstützt verschiedene Video- und Audiocodecs sowie Untertitel.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch die Schwachstelle "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden". Noch unklar ist, ob auch ältere Versionen des VLC-Players betroffen sind, da nicht sicher ist, wie lange der Fehler bereits Teil des Programms ist.
Entwickler arbeiten an einem Patch
Die Schwachstelle ist Videolan, der Entwicklerfirma des VLC Media Players, seit vier Wochen bekannt. So lange arbeitet man bereits [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] an einem Update, welches die Lücke schließen soll. Wann dieses erscheint, ist noch unklar.
Bis die Sicherheitslücke gefixt ist, sollten Nutzer den VLC Media Player nicht mehr verwenden und in der Zwischenzeit auf Alternativen wie zum Beispiel den [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] oder [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] umsteigen.
Auch ältere Versionen des VLC Media Players sollten zur Sicherheit nicht mehr genutzt werden. Obwohl bisher keine Angriffe durch die Schwachstelle bekannt sind, könnte diese jederzeit ausgenutzt werden.
Hinweis: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ], dass die Schwachstelle in VLC steckt. Sie sei vielmehr Bestandteil einer externen Softwarebibliothek, die vor 16 Monaten ein entsprechendes Sicherheitsupdate erhalten habe, der aktuelle VLC-Player sei deshalb nicht betroffen. Wir arbeiten an einem ausführlichen Update zu diesem Artikel.
|
Quelle:[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Geändert von BLACKY74 (24.07.19 um 14:37 Uhr)
Grund: Artikel aktualisiert
|
|
|
Die folgenden 5 Mitglieder haben sich bei BLACKY74 bedankt:
|
|
24.07.19, 18:16
|
#2
|
Profi
Registriert seit: Aug 2016
Beiträge: 1.859
Bedankt: 6.238
|
Ich hab mir das mal angesehsen. Der Fehler liegt nicht im VLC sondern in einer Bibliothek die von VLC genutzt wird und die libebml heisst. Ubuntu-Linux 18.04 als Beispiel nutzt wohl noch eine "veraltere" Version von dieser Bibliothek. Videolan schreibt dazu wie folgt:
Zitat:
[...]
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
[...]
|
Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Wer sich unsicher ist sollte schauen welche Version von libebml genutzt wird. Mein Gentoo-Linux nutzt libebml Version 1.3.9 und sollte nicht betroffen sein. Da es eine quellbasierte Distro ist könnte ich bei Misstrauen auch einfach auf die mkv Komponente verzichten. Aber solange da nichts von Gentoo-Seite gewarnt wird sehe ich da keinen Grund der Aussage von Videolan zu misstrauen.
__________________
"Mitleid und Erbarmen hielten Bilbos Hand zurück. Viele, die leben, verdienen den Tod und manche, die sterben, verdienen das Leben. Kannst du es ihnen geben, Frodo? Dann sei nicht so rasch mit einem Todesurteil bei der Hand. Selbst die ganz Weisen erkennen nicht alle Absichten. Mein Herz sagt mir, dass Gollum noch eine Rolle zu spielen hat, zum Guten oder zum Bösen, ehe das Ende kommt." (Gandalf zu Frodo)
|
|
|
Die folgenden 6 Mitglieder haben sich bei Wornat1959 bedankt:
|
|
24.07.19, 18:32
|
#3
|
Super Moderatorin
Registriert seit: Mar 2009
Ort: South Bronx
Beiträge: 23.835
Bedankt: 61.521
|
Zitat:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) warnen vor einer Sicherheitslücke in der aktuellen Version 3.0.7.1 des VLC Media Players. Allerdings gibt es rund um die Sicherheitswarnungen Verwirrung. Zunächst stufte das BSI das Risiko der Schwachstelle als "hoch" ein, inzwischen aber wurde die Warnung mehrfach verändert: Erst galt die Bedrohung als "mittel", inzwischen sogar nur noch als "niedrig".
Nach der ersten alarmierenden Warnung meldeten sich die Entwickler des VLC Media Players per Twitter zur Wort: Das Projekt VideoLAN gab an, der Player sei nicht direkt durch eine Sicherheitslücke betroffen. Vielmehr handele es sich um einen Fehler in der Bibliothek eines Drittanbieters, welcher vor mehr als 16 Monaten bereits behoben wurde. Die verschiedenen Sicherheitsstellen hätten sich im Vorfeld nicht mit VideoLAN in Verbindung gesetzt. Hätten sie es getan, wüssten sie, dass der VLC-Player seit Version 3.0.3 nicht mehr von der Schwachstelle betroffen ist. Die aktuelle Version hat die Nummer 3.0.7.1.
Das CERT hatte zunächst geschrieben, eine manipulierte Videodatei könne einen Bug im MKV-Modul des Players ausnutzen und zu einem Speicherüberlauf führen. Dadurch hätten "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden können". Zugriffsrechte oder die Zustimmung des Nutzers hätte es nicht gebraucht.
|
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Die folgenden 4 Mitglieder haben sich bei Avantasia bedankt:
|
|
24.07.19, 18:35
|
#4
|
working behind bars
Registriert seit: Apr 2013
Beiträge: 2.928
Bedankt: 12.522
|
Computer Base dazu:
Zitat:
Relativ spät hat VideoLAN heute via Twitter Stellung bezogen und die Berichte um die Sicherheitslücke im Medienplayer VLC vehement zurückgewiesen. Der Player selbst sei gar nicht betroffen, vielmehr betreffe das Leck die Software-Bibliothek libebml eines Drittanbieters. Das Problem mit dieser Bibliothek sei bereits vor gut 1,5 Jahren mit Veröffentlichung von VLC 3.0.3 behoben worden.
VideoLAN wirft MITRE nicht nur fehlerhafte Recherche vor, sondern beschwert sich auch darüber, dass die Organisation im Vorfeld keinen Kontakt zum VLC-Entwickler gesucht habe, um auf das vermeintliche Sicherheitsleck hinzuweisen. Damit habe MITRE gegen die eigenen Richtlinien verstoßen und dies nicht zum ersten Mal, heißt es weiter auf Twitter.
Der CVE-Eintrag enthält bereits einen Hinweis auf eine „erneute Analyse“ und sollte bald korrigiert werden, sofern die Angaben von VideoLAN zutreffen.
Nachtrag: Im CVE-Eintrag wurde das Problem inzwischen auf die früheren Versionen bis VLC 3.0.3 eingegrenzt. Die aktuelle Fassung des VLC-Player ist also nicht betroffen.
Auch das CERT hat seine Meldung korrigiert und die Risikobewertung von „Hoch“ auf „Niedrig“ heruntergestuft.
|
Quelle:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Die folgenden 5 Mitglieder haben sich bei Uwe Farz bedankt:
|
|
25.07.19, 14:38
|
#5
|
Erfahrenes Mitglied
Registriert seit: Nov 2011
Beiträge: 630
Bedankt: 422
|
Zitat:
Zitat von Wornat1959
Ich hab mir das mal angesehsen. Der Fehler liegt nicht im VLC sondern in einer Bibliothek die von VLC genutzt wird und die libebml heisst. Ubuntu-Linux 18.04 als Beispiel nutzt wohl noch eine "veraltere" Version von dieser Bibliothek.
|
Kann ich bestätigen , 18.04 bekommt die Version 1.3.5. Abhilfe findet man hier [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
|
|
|
Folgendes Mitglied bedankte sich bei 30makk:
|
|
25.07.19, 15:54
|
#6
|
Forenbetrieb eingestellt
Registriert seit: Jun 2016
Ort: Forenbetrieb eingestellt
Beiträge: 1.314
Bedankt: 913
|
Es ist gefährlich Pakete auf einem System zu installieren, für das sie nicht vorgesehen sind. Evtl. erzeugt man dann Abhängigkeitsprobleme.
Ubuntu 19.04 hat 3.6.2. Das liegt aber in universe und wird daher nicht direkt von Canonical unterstützt. VLC ist auch in universe.
__________________
Foren-Aktivität seitens mir wurde aufgrund der hier verbotenen Kritik an Greta endgültig eingestellt. Verbleibt in eurer Filterblase.
|
|
|
26.07.19, 06:55
|
#7
|
Forenbetrieb eingestellt
Registriert seit: Jun 2016
Ort: Forenbetrieb eingestellt
Beiträge: 1.314
Bedankt: 913
|
Jetzt ist Version 3.0.7.1-0ubuntu18.04.1 [security] in den Paketquellen von Ubuntu, auch für 18.04.
__________________
Foren-Aktivität seitens mir wurde aufgrund der hier verbotenen Kritik an Greta endgültig eingestellt. Verbleibt in eurer Filterblase.
|
|
|
Folgendes Mitglied bedankte sich bei DJKuhpisse:
|
|
Forumregeln
|
Du kannst keine neue Themen eröffnen
Du kannst keine Antworten verfassen
Du kannst keine Anhänge posten
Du kannst nicht deine Beiträge editieren
HTML-Code ist Aus.
|
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:37 Uhr.
().
|