VLC-Sicherheitslücke: Panikmache oder echtes Risiko?
„VLC sofort deinstallieren, der Himmel fällt!“ – Solche Schlagzeilen kursieren im Netz. Doch die angebliche Sicherheitslücke in VLC ist wohl übertrieben und nach Angaben der VLC-Entwickler möglicherweise sogar gar kein reales Problem.
Auslöser dieser Aufregung war die Veröffentlichung von CVE-2019-13615, einer Schwachstelle, die mit einem kritischen Wert von 9,8 von 10 bewertet wurde. Die VLC-Entwickler sind jedoch verärgert, dass sie vor der Veröffentlichung dieses vermeintlichen Fehlers nicht einmal kontaktiert wurden.
Hallo @MITREcorp und @CVEneu, es ist wirklich nicht in Ordnung, dass ihr uns seit Jahren vor Veröffentlichungen zu VLC-Schwachstellen NIE kontaktiert; aber zumindest könntet ihr eure Informationen überprüfen oder euch selbst vergewissern, bevor ihr eine Sicherheitslücke mit 9,8 CVSS öffentlich macht…
Es handelt sich um eine 9,8 von 10 – klingt wie eine bevorstehende Katastrophe. Die Lücke soll es ermöglichen, aus der Ferne Code einzuschleusen, was fatale Folgen haben könnte. Angreifer könnten durch eine Sicherheitslücke in VLC die Kontrolle über Ihr System übernehmen.
Laut CVE erfordert dieser Fehler das Abspielen einer manipulierten MKV-Datei. Theoretisch könnte VLC kompromittiert werden, wenn man eine bösartige MKV-Datei herunterlädt und in VLC öffnet – aber es gibt keine Berichte darüber, dass dies in der Praxis vorgekommen ist. Die macOS-Version von VLC ist scheinbar auch nicht betroffen.
Selbst wenn die Schwachstelle tatsächlich existiert, sollte man lediglich bei MKV-Dateien Vorsicht walten lassen: Laden Sie keine dubiosen MKV-Dateien herunter und spielen Sie diese mit VLC ab, bis es einen Patch gibt. Meiden Sie MKV, wenn Sie illegale Medieninhalte nutzen.
Doch Vorsicht! Die VLC-Entwickler behaupten, sie können das Problem selbst gar nicht reproduzieren, was erhebliche Zweifel an der ursprünglichen Meldung des Exploits aufwirft.
Habt ihr das überhaupt überprüft?
Niemand hier kann dieses Problem nachstellen.
Es ist ratsam, heruntergeladene MKV-Dateien zu meiden, bis VLC die Sache geklärt hat. Aber mehr ist nicht nötig, und selbst das ist schon übervorsichtig.
Die VLC-Entwickler äußern sich im VideoLAN-Bugtracker folgendermaßen:
„Entschuldigung, aber dieser Fehler ist nicht reproduzierbar und bringt VLC überhaupt nicht zum Absturz.“ – Jean-Baptiste Kempf
„Wenn Sie aufgrund eines Nachrichtenartikels auf dieses Ticket stoßen, der von einer kritischen VLC-Schwachstelle berichtet, rate ich Ihnen, zuerst den obigen Kommentar zu lesen und Ihre (falschen) Nachrichtenquellen zu hinterfragen.“ – Francois Cartegnie
„Dies führt bei einer normalen Version von VLC 3.0.7.1 nicht zum Absturz.“ -Jean-Baptiste Kempf
Update: Hier ist die ausführlichere Antwort von VideoLAN. Den Entwicklern zufolge existiert in der aktuellen VLC-Software keine Sicherheitslücke.
Also, ein Reporter hat in unserem Bugtracker ein Problem gemeldet, das nicht den Melderichtlinien entspricht, sprich: uns privat über den Sicherheitsalias zu kontaktieren.
Unser Bugtracker ist natürlich öffentlich.
Wir konnten das Problem natürlich nicht reproduzieren und haben versucht, den Sicherheitsforscher privat zu kontaktieren.