Digital Eliteboard

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwert bleiben

Hardware & Software VLC Media Player: Sicherheitslücke längst behoben

josef.13

Moderator
Teammitglied
Mitglied seit
1. Juli 2009
Beiträge
20.042
Reaktion auf Beiträge
21.798
Punkte
163
Aktuell kursieren Meldungen über eine kritische Sicherheitslücke im VLC Media Player, die schon seit 16 Monaten behoben ist. So eröffnete ein Bugreporter wohl einen Fehler auf ihrer Bugtrackerseite über eine Sicherheitslücke in einer 3rd Party-Library namens „libebml„.

vlc.gif


VLC Media Player doch nicht gefährdet?
Vor vier Wochen wurde die Meldung erstellt, der den VLC Media Player wohl zum Abstürzen bringen soll. Bei der Sicherheitslücke handelt es sich laut der Meldung der Bugtrackerseite um einen Heap Buffer Overflow. Die Sicherheitslücke soll wohl einem Angreifer ermöglichen, eine Remote Code Execution (in BSI Worten: das Ausführen eines beliebigen Programmcodes) auszuführen. Nach eigenen Angaben von VideoLAN konnten sie die Sicherheitslücke wohl nicht reproduzieren. So kontaktierten sie den Reporter des Bugs, dieser antwortete aber bis heute nicht.

Der Melder der Sicherheitslücke „topsec(zhangwy)“, soll nach Angaben von VideoLAN wohl Ubuntu 18.04 dabei genutzt haben. Und dabei keine aktuellen Libraries nutzen.


MITRE verstößt gegen eigene Policies

vlc videolan ip-leak



Es soll wohl nicht das erste Mal sein, dass Mitre einfach einen neuen CVE anlegt, ohne vorher VideoLAN zu kontaktieren und somit gegen ihre eigenen policies (Richtlinien) verstößt.

For whatever reason, unknown to us,
@MITREcorp decided to issue a CVE, without talking to us.
This is in direct violation of their own policies, htps://t.co/yyDhK6Ls3u
pic.twitter.com/8AZWpimNBC
— VideoLAN (@videolan)
Libebml Entwickler äußern sich dazu
Selbst die Entwickler von der 3rd Party Library libebml haben sich dazu geäußert. So heißt es in einer offiziellen Twitter-Mitteilung, dass die Sicherheitslücke in der Library wohl schon seit der Version 1.36, welche am 20. April 2018 veröffentlicht wurde, längst behoben sei.


Somit wurde von den Medien die Meldung ungeprüft aufgenommen und verbreitet. Auf die Spitze trieb es diesmal „Gizmodo.com“ mit der Aufforderung, dass man den VLC Media Player deinstallieren sollte.

Quelle; tarnkappe
 
Oben Unten