schwere Schwachstelle im derzeitigen VLC Media Player

[Astor27]

Nutzer des VLC Media Players für Windows, Linux und macOS sollten darüber nachdenken, vorerst auf eine Alternative zur beliebten Mediaplayer-Software zurückzugreifen. Denn das CERT des Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund) hat eine Warnmeldung veröffentlicht, derzufolge eine bislang ungepatchte Sicherheitslücke in der aktuellen Version 3.0.7.1 hohes Risikopotenzial für Remote-Attacken birgt. Laut Warnmeldung von CERT-Bund könnte ein entfernter, anonymer Angreifer die Lücke ausnutzen, um "beliebigen Programmcode auszuführen, einen 'Denial of Service'-Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren". In der National Vulnerability Database (NVD) zu CVE-2019-13615 ist der Lücke ein CVSS-v3-Score von 9.8 ("critical") zugeordnet.
Dem in der NVD veröffentlichten CVSS-v3 Attack Vector ist außerdem zu entnehmen, dass die Komplexität eines Angriffs über die Sicherheitslücke niedrig ist und dass ein solcher weder bestimmte Zugriffsrechte noch eine Nutzer-Interaktion mit der Software erfordern würde.
Über aktive Angriffe auf VLC 3.0.7.1 ist bislang nichts bekannt. Quellen: https://www.heise.de/security/meldung/V ... 75712.html
https://www.cert-bund.de/advisoryshort/CB-K19-0634
https://nvd.nist.gov/vuln/detail/CVE-2019-13615

[Astor27]

update/info

Das VideoLAN-Projekt hat angekündigt, sich um die Anerkennung als CVE Numbering Authority (CNA) für seinen beliebten VLC Media Player und möglicherweise auch für "einige andere Multimedia-Programmbibliotheken" bemühen zu wollen. CVE steht für "Common Vulnerabilities and Exposures" und ist ein Industriestandard zur Benennung von Sicherheitslücken in Computersystemen und Software.
Als CNA wäre VideoLAN direkter Ansprechpartner für jeden, der Sicherheitslücken in VLC melden will, und hätte die Kontrolle über die Vergabe der CVE-Nummern für diese Lücken.
Ungewöhnlich ist VideoLANs Ankündigung nicht: Derzeit sind – unter dem Vorsitz der MITRE Corporation als sogenannter "Root CNA" – knapp 100 Unternehmen, Projekte, Sicherheitsforscher, CERTs und Bug-Bounty-Programme als CNAs zugelassen. MITRES Übersichtsseite der "Participating CNAs" nennt neben Herstellern kommerzieller Software wie Adobe, Apple oder Microsoft auch viele Open-Source-Projekte wie die Apache Software Foundation oder die Mozilla Corporation.
Immer dann, wenn bestimmte Bereiche oder Produkte nicht von einer CNA abgedeckt sind, übernimmt MITRE als Root-CNA die Verantwortung für die CVE-Vergabe. Und genau dieser Prozess lief kürzlich offenbar schief: VideoLAN wirft MITRE vor, eine CVE-Nummer für eine vermeintliche Sicherheitslücke im VLC-Player vergeben zu haben, ohne die VLC-Entwickler vorher kontaktiert zu haben.
In einem Tweet erklärte VideoLAN, mit der geplanten Bewerbung als CNA solche Probleme künftig vermeiden zu wollen.Quellen: https://www.heise.de/security/meldung/V ... 81231.html

[gizmostrolch]

Die angebliche Sicherheitslücke im VLC Player ist gar keine Sicherheitslücke: https://www.chip.de/news/Entwarnung-VLC ... 81996.html

[Astor27]

ich glaube mehr dem original als chip

[putzerstammer]

Die angebliche Sicherheitslücke im VLC Player ist gar keine Sicherheitslücke: https://www.chip.de/news/Entwarnung-VLC ... 81996.html

Panik mache für nichts

[Astor27]

ich sehe das nicht als Panikmache