Warnung vor kritischer Sicherheitslücke im VLC Media Player, aktuelle Version nicht betroffen
Update: Korrigierte Einstufung und Statement der Entwickler.
Update (25.07.2019): Nach Angaben von VLC-Entwickler VideoLAN ist nicht der Player selbst davon betroffen, vielmehr gehe es um eine Sicherheitslücke in der Software-Bibliothek "libebml", die von einem Drittanbieter stammt.
Man habe dieses Problem schon vor rund anderthalb Jahren mit der VLC-Version 3.0.3 behoben. Der amerikanischen MITRE Corporation wirft man indes vor, keinen Kontakt zu den Entwicklern gesucht zu haben, womit man (nicht zum ersten Mal) gegen die eigenen Richtlinien verstoße.
Heißt: Die aktuelle Fassung des VLC-Players ist bei der Nutzung dieser speziellen Software-Bibliothek von dem Problem nicht betroffen und auch das CERT hat sich inzwischen korrigiert. Das Risiko wird nicht mehr als "hoch", sondern als "niedrig" eingestuft.
Quelle: Computerbase
Originalmeldung (24.07.2019): Der ein oder andere von euch verwendet vermutlich den VLC Media Player.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team des Bundes (CERT) warnen aktuell vor einer schweren Sicherheitslücke im Programm.
Betroffen ist die Version 3.0.7.1 des VLC Media Players für Linux, macOS und Windows, man spricht von einem "hohen" Risiko.
Die Schwachstelle macht das Ausführen eines beliebigen Codes ohne spezielle Zugriffsrechte oder Interaktionen des Nutzers möglich. Dadurch könne "beliebiger Programmcode ausgeführt, einen Denial of Service Zustand hergestellt, Informationen offengelegt oder Dateien manipuliert werden", schreibt das CERT.
Ursache ist ein Fehler im MKV-Modul des Players. Es dient dazu, Dateien mit den Endungen .mka, .mkv, .mgs und .mk3d abzuspielen.
Wie das CERT betont, ist unklar, ob auch ältere Versionen betroffen sind und wie lange der Fehler möglicherweise schon vorhanden ist.
Den Entwicklern des VLC Media Players ist die Schwachstelle seit rund einem Monat bekannt, man arbeite mit "höchster Priorität" an einer neuen Version. Wann diese erscheint, ist unklar.
Quelle: BSI, CERT, Spiegel Online