Kritische Sicherheitslücke im VLC media player (Update)

addey

Enthusiast
Thread Starter
Mitglied seit
13.01.2014
Beiträge
730
Konnte den VLC Player noch nie leiden, kann mir auch nicht vorstellen, warum dieser so beliebt ist.
Ich nutze eigentlich schon immer den Media Player Classic HC.

Die Sicherheitslücke scheint ja nicht so kritisch zu sein...
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Du verwendest einen Mediaplayer, dessen Entwicklung im Jahr 2017 eingestellt wurde?
 
Die Entwicklung davon ist seit 2017 eingestellt, du wirst wohl selbst auf die Seite des Entwicklers finden.

Spricht was dagegen ?
Ja, die seit 2017 nicht gepatchten Ssicherheitslücken!

Warum nimmst du nicht den Media Player Classic BE?
Der wird wenigstens gepflegt!
 
Hab früher auch den VLC genutzt, irgendwann dann auf MPC HC umgesattelt und danach auf MPC BE.
 
Die Entwicklung davon ist seit 2017 eingestellt, du wirst wohl selbst auf die Seite des Entwicklers finden.


Ja, die seit 2017 nicht gepatchten Ssicherheitslücken!

Warum nimmst du nicht den Media Player Classic BE?
Der wird wenigstens gepflegt!

Ich nutze die 1.8.7 Version, vor 3 Tagen wurde die released...
 
Das ist die offizielle Seite, die ist seit 2017 tot
Home · MPC-HC

Ah, gerade gesehen, andere Leute pflegen den Fork jetzt weiter, ich bin aber 2017 auf den MPC-BE umgestiegen, weil eben der MPC-HC zu lange keine Updates mehr bekommen hat.
 
Das ist die offizielle Seite, die ist seit 2017 tot
Home · MPC-HC

Ah, gerade gesehen, andere Leute pflegen den Fork jetzt weiter, ich bin aber 2017 auf den MPC-BE umgestiegen, weil eben der MPC-HC zu lange keine Updates mehr bekommen hat.

Jap, da kommen regelmäßig Updates. Daher alles in Ordnung.
Der BE wäre halt ne Umgewöhnung :sick:

Außerdem hatten mir damals ein paar Funktionen gefehlt, keine Ahnung ab die Features mittlerweile eingepflegt worden sind.
 
Zuletzt bearbeitet:
Was ist beim BE so großartig anders?

Das Design :d

Mal ehrlich, wie gesagt, es fehlen Funktionen, die ich brauche bzw. gerne nutze.
Das ist nur ein Beispiel, es gibt bzw. gab weitere Funktionen die fehlen.
Keine Lust jetzt alles zu vergleichen.

Beispiel :
Oben MPC-HC unten MPC BE
Screenshot (334).png
 
...andere alternative zum VLC (den ich aber weiterhin nutze) ist der MPC-BE (bei mir mit 64bit - 32bit version gibt es aber auch)
MPC-BE download | SourceForge.net
die webseite ist leider gewöhnungsbedürftig und man sollte dort den ublock-origin kurz mal ausschalten
der wird nach wie vor immer wieder aktualisiert und kommt angeblich auch mit formaten klar, wo der VLC manchmal probleme haben soll (aussage meines bruders in guatemala)
bei mir sind beide player in der aktuellen Version installiert... - VLC mit der 3.0.7.1 - der MPC-BE mit der 1.5.3 (build 4488)

weitere infos zum thema:
BSI warnt vor Schwachstelle im VLC-Player bis V3.0.7.1 | Borns IT- und Windows-Blog

edit:
MPC-BE - Browse /MPC-BE/Release builds/1.5.3 at SourceForge.net
 
Zuletzt bearbeitet:
Wo steht, dass der eingestellt wurde ?

v1.7.13 is released and farewell · MPC-HC

kann mir auch nicht vorstellen, warum dieser so beliebt ist.

Er spielt praktisch alles ab, was man ihm entgegen wirft, ist klein, frei und Open Source und ist zudem platformunabhängig. Er unterstützt GPU-Beschleunigung auf so ziemlich jeder Plattform mit so ziemlich jeder Grafikkarte, kann auch headless benutzt werden, hat ein optionales Web Interface und eignet sich zudem auch als API für andere Programme. Alles Dinge, die der VLC zu Release den meisten Alternativen voraus hatte.
 
Zuletzt bearbeitet:
Ich nutze mittlerweile auch den VLC, da dieser m.E. die größte Schnittmenge mit meinen Anforderungen hat. Es nervt aber unfassbar, dass dieser nicht von alleine den ganzen Ordner wiedergibt...
Davor habe ich sehr lange den KMPlayer benutzt, der wurde aber irgendwann tot generft (Achtung, 1337-Slang!).
 
der vlc startet einfach instant. das ist halt auch ein grund .D
 
Laut dem CB-Thread dazu muss man, um die Sicherheitslücke auszunutzen, eine kompromittierte Datei abspielen. Die Info fehlte sowohl hier als auch im CB-Artikel. Der Exploit ist also nicht wormable, Phishing/Social Engineering (oder Zugriff auf den PC) wird also benötigt.
 
@Ycon
...totaler quatsch!
rechte maustaste auf den ordner und dann auf:

vlc.jpg

wenn das vernünftigt geordnet ist, spielt der alles in der richtigen reihenfolge in dem ordner ab!
 
Konnte den VLC Player noch nie leiden, kann mir auch nicht vorstellen, warum dieser so beliebt ist.
Ich nutze eigentlich schon immer den Media Player Classic HC.
Ist besser bedienbar als der Mediaplayer Classic, finde ich. Habs z.B. beim MC noch nie hingekriegt, das man mit dem Mausrad durch ein Video scrollen kann.
Und zudem spielt er fast alles ab, ohne das man zusätzliche Codecs installieren muss.

Die Sicherheitslücke scheint ja nicht so kritisch zu sein...
Die Sicherheitslücke ist FATAL. Du musst nur ein präpariertes Video im VLC öffnen und der Angreifer kann auf deinem PC ALLES ausführen, was er will. Zunächst zwar nur mit Userrechten, aber er ist dann schonmal auf deinem Rechner. Dann nochmal eine weitere Sicherheitslücke auszunutzen, wenn man eh schon lokal ist, um auch noch Adminrechte zu kriegen, ist dann kein Kunststück mehr.
 
Die Sicherheitslücke ist FATAL. Du musst nur ein präpariertes Video im VLC öffnen

Nach der Logik ist jede Lücke fatal. Wenn man es schafft, dass der Nutzer ein präpariertes Video öffnet, dann kann man dem auch einfach jedes x-beliebige Programm unterjubeln. Die Tatsache, dass Windows Dateiendungen standardmäßig ausblendet, verschlimmert die Sache nur. So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4". Der Applikation noch nen VLC-Hütchen oder, noch besser, nen Thumbnail als Icon geben und schon braucht man keine VLC-Lücke mehr. Von daher sehe ich die Lücke mal ganz gelassen.
 
Alternative zu VLC ist zb auch Codecs zu installieren, zb shark007 Codec Pack. Dann spielt jeder Player vermeintlich alles ab.

Allerdings weitgehend sinnlos, weil man mit VLC einfach am wenigsten Ärger hat.
 
Nach der Logik ist jede Lücke fatal. Wenn man es schafft, dass der Nutzer ein präpariertes Video öffnet, dann kann man dem auch einfach jedes x-beliebige Programm unterjubeln. Die Tatsache, dass Windows Dateiendungen standardmäßig ausblendet, verschlimmert die Sache nur. So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4". Der Applikation noch nen VLC-Hütchen oder, noch besser, nen Thumbnail als Icon geben und schon braucht man keine VLC-Lücke mehr. Von daher sehe ich die Lücke mal ganz gelassen.

Nach der Logik ist doch alleine die Tatsache, das eine Dateiendung existiert, bereits fraglich und offensichtlich falsch.


Gesendet von iPhone mit Tapatalk
 
So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4".
Das mag zwar versteckbar sein, aber man kann es erkennen. Ein präpariertes Video kann ein Anwender aber nicht erkennen, egal was er tut.
Zumal wie schon angemerkt, Windows eh nochmal warnen würde, bevor die Anwendung gestartet wird, beim Öffnen eines echten (aber präparierten) Videos kommt aber nichts mehr.
 
Konnte den VLC Player noch nie leiden, kann mir auch nicht vorstellen, warum dieser so beliebt ist.
Ich nutze eigentlich schon immer den Media Player Classic HC.

VLC wird benutzt weil es der beste Player ist den es gibt. Ganz einfach.

Die Sicherheitslücke ist unkritisch, die setzt ein manipuliertes File vorraus.
 
Zuletzt bearbeitet:
VLC wird benutzt weil es der beste Player ist den es gibt. Ganz einfach.
...genau so isses - und sollte man mit ihm ein problem haben, was so gut wie nie vorkommt, versucht man es alternativ dann mit dem MPC-BE player...
ist zumindest meine persönliche herangehensweise... :cool:

edit:
übrigens ist videolan auch immer recht flott mit seinen updates!
 
Zuletzt bearbeitet:
@Dragon & Liesel: Schon klar, trotzdem ist das keine Lücke, die ich als kritisch einstufen würde. Kritisch sind Remote ausnutzbare Lücken oder Lücken, mit denen sich direkt (ohne zweite Lücke) Administratorrechte verschafft werden können. Ihr könnt euch ja mal den Debian-Bugtracker ansehen, dann kriegt man ein sehr gutes Gefühl welche Art von Sicherheitslücke welche Prioritisierung bekommt. "Critical" bekommt da eigentlich nur eine nachweisbar benutzbare oder bereits benutzte Remote-Lücke. "High" wird es wohl wahrscheinlich, wenn die Lücke nicht nachweisbar ist, nicht Remote ausnutzbar ist oder zu keinerlei Rechteausweitung führt, wobei letzteres natürlich vom betroffenen Programm abhängt. Insofern verstehe ich schon, dass der Bug zuerst 4 Wochen einfach nur rumdümpelte. Die Prio bekommt er jetzt nur, weil die Medien angefangen haben vom Weltuntergang zu sprechen, weil das CERT seine 10 Zeilen dazu geschrieben hat.
 
@Fallwrrk
So wird nämlich aus "video.mp4.exe" ganz schnell einfach nur "video.mp4".

wer das bis heute nicht verstanden hat, hat echt ein problem und sollte auch mal nachdenken!
das gemeine ist ja, das dies eine voreinstellung bei allen windows BS ist! (...erweiterungen bei bekannten dateitypen ausblenden...)
das ist bei mir grundsätzlich immer einer der ersten einstellungen bei windows die ich dann unter ORDNEROPTIONEN immer sofort deaktiviere

erweiterungen.jpg

anyway - gab schon immer so nette versuche, einem eine vermeintliche PDF datei unterzujubeln, die in wirklichkeit ein EXE war...

;)
 
das ist bei mir grundsätzlich immer einer der ersten einstellungen bei windows die ich dann unter ORDNEROPTIONEN immer sofort deaktiviere

Bei mir ebenfalls. Aber ihr denkt glaub ich alle nicht daran, dass es Leute gibt, die das nicht rallen; die gleichen Leute, wegen denen Microsoft bei Updates diese Meldung einblenden muss. Und bei den Leuten ist es auch Wumpe, ob das n manipuliertes Video ist oder n ausführbares Programm. Und Windows 10 warnt eben NICHT, wenn man ein unbekanntes Programm öffnet, solange es keine Adminstratorrechte benötigt, wobei selbst die sicherlich von vielen Ahnungslosen einfach abgenickt werden.
 
Wieso muss es eine EXE-Datei sein? Mit Microsoft Office und VBA lässt sich auch jede Menge Ungutes anstellen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh