Nutzer des VLC Media Players für Windows, Linux und macOS sollten darüber nachdenken, vorerst auf eine Alternative zur beliebten Mediaplayer-Software zurückzugreifen. Denn das CERT des Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund) hat eine Warnmeldung veröffentlicht, derzufolge eine bislang ungepatchte Sicherheitslücke in der aktuellen Version 3.0.7.1 hohes Risikopotenzial für Remote-Attacken birgt. Laut Warnmeldung von CERT-Bund könnte ein entfernter, anonymer Angreifer die Lücke ausnutzen, um "beliebigen Programmcode auszuführen, einen 'Denial of Service'-Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren". In der National Vulnerability Database (NVD) zu CVE-2019-13615 ist der Lücke ein CVSS-v3-Score von 9.8 ("critical") zugeordnet.
Dem in der NVD veröffentlichten CVSS-v3 Attack Vector ist außerdem zu entnehmen, dass die Komplexität eines Angriffs über die Sicherheitslücke niedrig ist und dass ein solcher weder bestimmte Zugriffsrechte noch eine Nutzer-Interaktion mit der Software erfordern würde.
Über aktive Angriffe auf VLC 3.0.7.1 ist bislang nichts bekannt. Quellen: https://www.heise.de/security/meldung/V ... 75712.html
https://www.cert-bund.de/advisoryshort/CB-K19-0634
https://nvd.nist.gov/vuln/detail/CVE-2019-13615
Herzlich willkommen bei PC-Sicherheit.net
Du betrachtest derzeit das Forum als Gast und hast damit nur eingeschränkten Zugriff. Um alle Bereiche zusehen und alle Forenfunktionen nutzen zu können ist eine kostenlose Registrierung erforderlich.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Wir würden uns freuen Dich bald bei uns als Mitglied begrüßen zu dürfen.
Viele Grüße vom PC-Sicherheit.net Team
schwere Schwachstelle im derzeitigen VLC Media Player
- Astor27
- Moderator
- Beiträge: 25426
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9478 Mal
- Danksagung erhalten: 8642 Mal
schwere Schwachstelle im derzeitigen VLC Media Player
Ich empfehle den download und update immer von der Original Seite der Software.
- Astor27
- Moderator
- Beiträge: 25426
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9478 Mal
- Danksagung erhalten: 8642 Mal
Re: schwere Schwachstelle im derzeitigen VLC Media Player
update/info
Das VideoLAN-Projekt hat angekündigt, sich um die Anerkennung als CVE Numbering Authority (CNA) für seinen beliebten VLC Media Player und möglicherweise auch für "einige andere Multimedia-Programmbibliotheken" bemühen zu wollen. CVE steht für "Common Vulnerabilities and Exposures" und ist ein Industriestandard zur Benennung von Sicherheitslücken in Computersystemen und Software.
Als CNA wäre VideoLAN direkter Ansprechpartner für jeden, der Sicherheitslücken in VLC melden will, und hätte die Kontrolle über die Vergabe der CVE-Nummern für diese Lücken.
Ungewöhnlich ist VideoLANs Ankündigung nicht: Derzeit sind – unter dem Vorsitz der MITRE Corporation als sogenannter "Root CNA" – knapp 100 Unternehmen, Projekte, Sicherheitsforscher, CERTs und Bug-Bounty-Programme als CNAs zugelassen. MITRES Übersichtsseite der "Participating CNAs" nennt neben Herstellern kommerzieller Software wie Adobe, Apple oder Microsoft auch viele Open-Source-Projekte wie die Apache Software Foundation oder die Mozilla Corporation.
Immer dann, wenn bestimmte Bereiche oder Produkte nicht von einer CNA abgedeckt sind, übernimmt MITRE als Root-CNA die Verantwortung für die CVE-Vergabe. Und genau dieser Prozess lief kürzlich offenbar schief: VideoLAN wirft MITRE vor, eine CVE-Nummer für eine vermeintliche Sicherheitslücke im VLC-Player vergeben zu haben, ohne die VLC-Entwickler vorher kontaktiert zu haben.
In einem Tweet erklärte VideoLAN, mit der geplanten Bewerbung als CNA solche Probleme künftig vermeiden zu wollen.Quellen: https://www.heise.de/security/meldung/V ... 81231.html
- Folgende Benutzer bedankten sich beim Autor Astor27 für den Beitrag (Insgesamt 2):
- darktwillight • Alex
Ich empfehle den download und update immer von der Original Seite der Software.
-
- Foren Experte
- Beiträge: 2378
- Registriert: Fr 30. Jun 2017, 17:59
- Betriebssystem: Windows 10 Pro 22H2
- Browser: Firefox
- Firewall: GlassWire Free
- Virenscanner: Kaspersky Free
- Hat sich bedankt: 31 Mal
- Danksagung erhalten: 935 Mal
Re: schwere Schwachstelle im derzeitigen VLC Media Player
Die angebliche Sicherheitslücke im VLC Player ist gar keine Sicherheitslücke: https://www.chip.de/news/Entwarnung-VLC ... 81996.html
- Astor27
- Moderator
- Beiträge: 25426
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9478 Mal
- Danksagung erhalten: 8642 Mal
Re: schwere Schwachstelle im derzeitigen VLC Media Player
ich glaube mehr dem original als chip
Ich empfehle den download und update immer von der Original Seite der Software.
- putzerstammer
- Foren Experte
- Beiträge: 1566
- Registriert: So 13. Nov 2011, 00:15
- Betriebssystem: Solus und Arch
- Browser: Firefox
- Firewall: Mein Router
- Virenscanner: Die können mich mal
- Wohnort: Zuhause
- Hat sich bedankt: 333 Mal
- Danksagung erhalten: 1026 Mal
Re: schwere Schwachstelle im derzeitigen VLC Media Player
Panik mache für nichtsgizmostrolch hat geschrieben: ↑Di 30. Jul 2019, 20:19 Die angebliche Sicherheitslücke im VLC Player ist gar keine Sicherheitslücke: https://www.chip.de/news/Entwarnung-VLC ... 81996.html
- Astor27
- Moderator
- Beiträge: 25426
- Registriert: So 5. Feb 2012, 15:21
- Betriebssystem: Win10-64bit,Win11
- Browser: Firefox125.0/Brave
- Firewall: KIS21
- Virenscanner: KIS21
- Hat sich bedankt: 9478 Mal
- Danksagung erhalten: 8642 Mal
Re: schwere Schwachstelle im derzeitigen VLC Media Player
ich sehe das nicht als Panikmache
Ich empfehle den download und update immer von der Original Seite der Software.