[BLACKY74]

Zitat:

Deutsche Sicherheitsexperten warnen vor einer Schwachstelle im weit verbreiteten VLC Media Player. Nutzer sollten das kostenlose Programm aktuell nicht mehr nutzen und auf Alternativen umsteigen.


Wegen einer Sicherheitslücke sollte der VLC Media Player aktuell nicht genutzt werden
VideoLAN

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] in der aktuellen Version 3.0.7.1 des VLC Media Players. Das Risiko sei als "hoch" zu bewerten, da die Schwachstelle das Ausführen beliebigen Codes ermögliche. Damit könnten Angreifer ein Computersystem übernehmen. Spezielle Zugriffsrechte oder eine Interaktion des Nutzers seien dafür nicht nötig - das macht die Sicherheitslücke so gefährlich.

Laut BSI und CERT betrifft die Schwachstelle die Programmversionen für Linux, UNIX (macOS) und Windows. Auf allen drei Systemen könnte eine manipulierte Videodatei einen Fehler im sogenannten MKV-Modul des Players ausnutzen und zu einem Speicherüberlauf führen. Dieses Modul ermöglicht dem Player, MKV-Dateien abzuspielen. Das Format, erkennbar an den Dateiendungen .mkv, .mka, .mks und .mk3d, unterstützt verschiedene Video- und Audiocodecs sowie Untertitel.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] durch die Schwachstelle "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden". Noch unklar ist, ob auch ältere Versionen des VLC-Players betroffen sind, da nicht sicher ist, wie lange der Fehler bereits Teil des Programms ist.

Entwickler arbeiten an einem Patch

Die Schwachstelle ist Videolan, der Entwicklerfirma des VLC Media Players, seit vier Wochen bekannt. So lange arbeitet man bereits [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] an einem Update, welches die Lücke schließen soll. Wann dieses erscheint, ist noch unklar.

Bis die Sicherheitslücke gefixt ist, sollten Nutzer den VLC Media Player nicht mehr verwenden und in der Zwischenzeit auf Alternativen wie zum Beispiel den [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] oder [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] umsteigen.

Auch ältere Versionen des VLC Media Players sollten zur Sicherheit nicht mehr genutzt werden. Obwohl bisher keine Angriffe durch die Schwachstelle bekannt sind, könnte diese jederzeit ausgenutzt werden.

Hinweis: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ], dass die Schwachstelle in VLC steckt. Sie sei vielmehr Bestandteil einer externen Softwarebibliothek, die vor 16 Monaten ein entsprechendes Sicherheitsupdate erhalten habe, der aktuelle VLC-Player sei deshalb nicht betroffen. Wir arbeiten an einem ausführlichen Update zu diesem Artikel.

Quelle:[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Wornat1959]

Ich hab mir das mal angesehsen. Der Fehler liegt nicht im VLC sondern in einer Bibliothek die von VLC genutzt wird und die libebml heisst. Ubuntu-Linux 18.04 als Beispiel nutzt wohl noch eine "veraltere" Version von dieser Bibliothek. Videolan schreibt dazu wie folgt:

Zitat:

[...]
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
[...]

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Wer sich unsicher ist sollte schauen welche Version von libebml genutzt wird. Mein Gentoo-Linux nutzt libebml Version 1.3.9 und sollte nicht betroffen sein. Da es eine quellbasierte Distro ist könnte ich bei Misstrauen auch einfach auf die mkv Komponente verzichten. Aber solange da nichts von Gentoo-Seite gewarnt wird sehe ich da keinen Grund der Aussage von Videolan zu misstrauen.

[Avantasia]

Zitat:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) warnen vor einer Sicherheitslücke in der aktuellen Version 3.0.7.1 des VLC Media Players. Allerdings gibt es rund um die Sicherheitswarnungen Verwirrung. Zunächst stufte das BSI das Risiko der Schwachstelle als "hoch" ein, inzwischen aber wurde die Warnung mehrfach verändert: Erst galt die Bedrohung als "mittel", inzwischen sogar nur noch als "niedrig".

Nach der ersten alarmierenden Warnung meldeten sich die Entwickler des VLC Media Players per Twitter zur Wort: Das Projekt VideoLAN gab an, der Player sei nicht direkt durch eine Sicherheitslücke betroffen. Vielmehr handele es sich um einen Fehler in der Bibliothek eines Drittanbieters, welcher vor mehr als 16 Monaten bereits behoben wurde. Die verschiedenen Sicherheitsstellen hätten sich im Vorfeld nicht mit VideoLAN in Verbindung gesetzt. Hätten sie es getan, wüssten sie, dass der VLC-Player seit Version 3.0.3 nicht mehr von der Schwachstelle betroffen ist. Die aktuelle Version hat die Nummer 3.0.7.1.

Das CERT hatte zunächst geschrieben, eine manipulierte Videodatei könne einen Bug im MKV-Modul des Players ausnutzen und zu einem Speicherüberlauf führen. Dadurch hätten "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden können". Zugriffsrechte oder die Zustimmung des Nutzers hätte es nicht gebraucht.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Uwe Farz]

Computer Base dazu:

Zitat:

Relativ spät hat VideoLAN heute via Twitter Stellung bezogen und die Berichte um die Sicherheitslücke im Medienplayer VLC vehement zurückgewiesen. Der Player selbst sei gar nicht betroffen, vielmehr betreffe das Leck die Software-Bibliothek libebml eines Drittanbieters. Das Problem mit dieser Bibliothek sei bereits vor gut 1,5 Jahren mit Veröffentlichung von VLC 3.0.3 behoben worden.

VideoLAN wirft MITRE nicht nur fehlerhafte Recherche vor, sondern beschwert sich auch darüber, dass die Organisation im Vorfeld keinen Kontakt zum VLC-Entwickler gesucht habe, um auf das vermeintliche Sicherheitsleck hinzuweisen. Damit habe MITRE gegen die eigenen Richtlinien verstoßen und dies nicht zum ersten Mal, heißt es weiter auf Twitter.

Der CVE-Eintrag enthält bereits einen Hinweis auf eine „erneute Analyse“ und sollte bald korrigiert werden, sofern die Angaben von VideoLAN zutreffen.

Nachtrag: Im CVE-Eintrag wurde das Problem inzwischen auf die früheren Versionen bis VLC 3.0.3 eingegrenzt. Die aktuelle Fassung des VLC-Player ist also nicht betroffen.

Auch das CERT hat seine Meldung korrigiert und die Risikobewertung von „Hoch“ auf „Niedrig“ heruntergestuft.

Quelle:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[30makk]

Zitat:

Zitat von Wornat1959

Ich hab mir das mal angesehsen. Der Fehler liegt nicht im VLC sondern in einer Bibliothek die von VLC genutzt wird und die libebml heisst. Ubuntu-Linux 18.04 als Beispiel nutzt wohl noch eine "veraltere" Version von dieser Bibliothek.

Kann ich bestätigen , 18.04 bekommt die Version 1.3.5. Abhilfe findet man hier [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[DJKuhpisse]

Es ist gefährlich Pakete auf einem System zu installieren, für das sie nicht vorgesehen sind. Evtl. erzeugt man dann Abhängigkeitsprobleme.
Ubuntu 19.04 hat 3.6.2. Das liegt aber in universe und wird daher nicht direkt von Canonical unterstützt. VLC ist auch in universe.

[DJKuhpisse]

Jetzt ist Version 3.0.7.1-0ubuntu18.04.1 [security] in den Paketquellen von Ubuntu, auch für 18.04.