Die Fake-Sicherheitslücke im VLC-Mediaplayer

Am Monatsanfang wurde ein Fehler an die Entwickler des VLC-Players gemeldet, der die aktuelle Version angeblich zum Absturz bringt. Die US-Behörde NIST hat den gemeldeten „Fehler“ dann als extrem kritische Sicherheitslücke (CVE-2019-13615) eingestuft und auch das deutsche Cert Bund hat das Problem zunächst mit einem hohen Risiko bewertet.

Auch viele andere Medien haben diese Warnungen offenbar ohne Überprüfung übernommen. Jetzt beschwert sich das Videolan-Projekt öffentlich über die Falschdarstellungen – und das zu Recht.

Die Fehlermeldung war falsch

Entgegen der Beschreibung in dem ursprünglichen Bugreport stürzt der VLC-Player mit der aktuellen Version 3.0.7.1 aber überhaupt nicht ab. Die Entwickler aus dem Videolan-Projekt hatten dementsprechend auch Probleme, den Fehler überhaupt nachvollziehen zu können, wie man an der Diskussion im Bugtracker des VLC-Projekts erkennt.

Inzwischen geht VLC davon aus, dass der vom Ersteller des Berichts vermeintlich gefundene Fehler in der Bibliothek Libebml aus dem Matroska-Projekt steckt die der VLC-Player lediglich als Abhängigkeit nutzt, genau wie einige andere freie Multimediaprojekte, wie beispielsweise FFMpeg oder Gstreamer.

Inzwischen weist das Matroska-Projekt explizit darauf hin, dass das gemeldete Problem schon vor über einem Jahr behoben wurde. Dieses Update hat auch das VLC-Projekt für seine offiziellen Builds seit der Version 3.0.3 übernommen.

Keine akute, gefährliche Sicherheitslücke in VLC

Dummerweise haben aber wohl einige Linux-Distributionen das Update bisher noch nicht an ihre Nutzer ausgerollt. Aber ein akute und gefährliche Sicherheitslücke, wie es viele Medien berichtet haben, existiert in der aktuellen Versionen des VLC-Players nicht.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter News, Programmierung, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Die Fake-Sicherheitslücke im VLC-Mediaplayer

  1. Pingback: Sicherheitsinfos vom Cert-Bund häufig unseriös | webwork-magazin.net

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.