Anwendungsprogramme

Kritische Sicherheitslücke im VLC media player (Update)

Der VLC media player ist eine weit verbreitete Mediaplayer-Software. Entsprechend viele Nutzer könnten prinzipiell von einer kritischen Sicherheitslücke betroffen sein, vor der jetzt sowohl NVD als auch CERT-Bund warnen.

CERT-Bund befasst sich als Computer Emergency Response Team der Bundesverwaltung mit dem Thema Computersicherheit. Die aktuelle Kurzinfo CB-K19/0634 ist für Nutzer des VLC media player relevant. Denn laut CERT-Bund gibt es eine Schwachstelle, die es entfernten Angreifern ermöglichen könnte, beliebigen Programmcode auszuführen, einen Denial-of-Service-Zustand herbeizuführen, Informationen abzugreifen oder auch Dateien zu manipulieren. Betroffen sein soll der VLC 3.0.7.1 auf Linux- UNIX- und Windowssystemen, also die aktuelle Version des Mediaplayers. Das Risiko wird vom CERT-Bund als hoch eingestuft.

Diese Kurzinfo bezieht sich auf die NVD (National Vulnerability Database), eine US-Datenbank zur IT-Sicherheit. Dort ist die Rede von einem "heap-based buffer over-read" bei MKV-Containern. Die NVD stuft die Sicherheitslücke als kritisch ein. Sie verweist auch auf den VLC-Bugtracker. Der entsprechende Eintrag ist dort mit höchster Priorität einsortiert worden. 

Es ist also davon auszugehen, dass die VLC-Entwickler die Sicherheitslücke in Zukunft schließen werden. Gelistet sie im VLC-Bugtracker schon seit immerhin vier Wochen, als betroffene Komponente wird der MKV-Demuxer genannt. Bisher sind noch keine erfolgreichen Angriffe bekannt geworden. Allerdings lässt sich auch nicht abschätzen, wie lange die Sicherheitslücke bereits besteht und ob auch ältere Versionen davon betroffen sein könnten. VLC-Nutzer sollten die weitere Entwicklung aufmerksam verfolgen. Vorsichtshalber könnte vorübergehend natürlich auch ein anderer Media Player genutzt werden.  

Update: Die Entwickler des VLC media players haben sich zwischenzeitlich mit kritischen Worten zur angeblichen Sicherheitslücke geäußert. Ihrer Auffassung nach gibt es kein Sicherheitsproblem mit dem VLC. Es gab nur ein Problem mit der libebml-Bibliothek (die von einem Drittanbieter stammt), für das schon vor 18 Monaten ein Fix herausgegeben wurde. Der Verfasser des ursprünglichen Eintrags im VLC-Bugtracker hatte VideoLAN nie direkt kontaktiert. Die VLC-Entwickler konnten das Problem mit der aktuellen VLC-Version (3.0.7.1) selbst nie nachstellen. Ihrer Einschätzung nach wären aktuelle Versionen von der Sicherheitsproblematik auch generell nicht betroffen. Auch auf älteren Systemen sei es sehr schwierig, die potenzielle Sicherheitslücke auszunutzen. 

Auch CERT-Bund hat die Risikoeinschätzung mittlerweile angepasst und von hoch auf niedrig gesenkt.