Ist der VLC Media Player anfällig für Hacker?

VLC Media Player hat ‘kritisches Sicherheitsproblem’, VideoLAN sagt, dass die Sicherheitsanfälligkeit behoben ist

VLC Media Player, ein beliebter plattformübergreifender Mediaplayer, hat eine kritische Sicherheitsanfälligkeit, die es Hackern ermöglicht, Ihre Computer zu übernehmen und Ihre Dateien zu sehen, behauptete ein Sicherheitsforscher.

Verwandt - 5 Beste Alternativen zum VLC Media Player

Die Sicherheitsanfälligkeit CVE-2019-13615, die als „kritisch“ eingestuft wurde, wurde vom nationalen Computer-Notfallteam Deutschlands (CERT Bund) identifiziert. Die Anfälligkeit betrifft die Version 3.0.7.1 in den Linux-, UNIX- und Windows-Versionen des VLC Media Players, wie der Forscher behauptete.

Die Anfälligkeit ermöglicht RCE (Remote Code Execution), was potenziell Hackern erlaubt, schädlichen Code zu installieren, auszuführen und auszuführen oder Dateien/Daten auf Zielmaschinen ohne die Zustimmung des Benutzers zu ändern. Sie könnte auch verwendet werden, um Dateien auf dem Host-System offenzulegen.

Berichten zufolge muss der Benutzer eine schädliche MKV-Videodatei abspielen, die dann den VLC-Player zum Absturz bringt und kompromittiert. CERT-Bund gab eine Basisanfälligkeitsbewertung von 9,8 von 10 in der National Vulnerability Database des NIST an.

Laut dem Hauptentwickler von VLC, Jean-Baptiste Kempf, ist der Fehler seit vier Wochen auf der VideoLAN-Website offen. Das Problem sei jedoch nicht reproduzierbar und bringe eine normale Version von VLC 3.0.7.1 nicht zum Absturz, fügte Kempf hinzu.

Francois Cartegnie von VideoLAN warnt:

Wenn Sie über einen Nachrichtenartikel auf dieses Ticket gestoßen sind, der einen kritischen Fehler im VLC behauptet, empfehle ich Ihnen, zuerst den obigen Kommentar zu lesen und Ihre (falschen) Nachrichtenquellen zu überdenken.

Der Twitter-Account des VideoLAN-Teams kritisierte auch das CVE-Team und MITRE dafür, dass sie Nachrichten über die Anfälligkeit verbreiteten:

Hey @MITREcorp und @CVEnew, die Tatsache, dass ihr uns seit Jahren NIE wegen VLC-Sicherheitsanfälligkeiten kontaktiert, bevor ihr veröffentlicht, ist wirklich nicht cool; aber zumindest könntet ihr eure Informationen überprüfen oder euch selbst überprüfen, bevor ihr 9.8 CVSS-Sicherheitsanfälligkeit öffentlich sendet… — VideoLAN (@videolan) 23. Juli 2019

Habt ihr das überhaupt überprüft?
Niemand kann dieses Problem hier reproduzieren. — VideoLAN (@videolan) 23. Juli 2019

Früh am Morgen nahm VideoLAN Twitter in Anspruch, um zu klären, dass VLC nicht anfällig ist, wie von CERT-Bund berichtet. Laut den Machern von VLC lag das Problem in einer Drittanbieterbibliothek namens „libebml“, die vor mehr als 16 Monaten behoben wurde. Es wurde auch hinzugefügt, dass VLC seit Version 3.0.3 die korrigierte Version hat und der Anspruch von MITRE auf einer vorherigen veralteten Version von VLC basierte.

Über das „Sicherheitsproblem“ bei #VLC: VLC ist nicht anfällig.
tl;dr: Das Problem liegt in einer Drittanbieterbibliothek, die libebml heißt, die vor mehr als 16 Monaten behoben wurde.
VLC hat seit Version 3.0.3 die korrekte Version ausgeliefert, und @MITREcorp hat nicht einmal ihren Anspruch überprüft. Thread: — VideoLAN (@videolan) 24. Juli 2019

Das VLC-Problem wurde jetzt von einer Anfälligkeitsbewertung von 9,8 auf 5,5 in der National Vulnerability Database herabgestuft, wobei angegeben wird, dass „das Opfer freiwillig mit dem Angriffsmechanismus interagieren muss“. Der zugehörige Eintrag im öffentlichen Bug-Tracker von VideoLAN listet das Problem ebenfalls als behoben auf.

Auf die Presseberichte, die behaupteten, der VLC Media Player sei anfällig, reagierte Kempf mit den Worten: „Es ist verrückt. Die Leute sagen: ‚Sie müssen VLC deinstallieren‘. Es sind die üblichen Leute, die ihre Fakten nicht überprüfen.“

VERWANDT: 10 der besten kostenlosen Mediaplayer für Windows 10

Mit anderen Worten, es gibt keinen Grund, den VLC Media Player zu deinstallieren, da VideoLAN bereits einen Patch veröffentlicht hat, um die Sicherheitsanfälligkeit zu beheben. Es ist jedoch ratsam, sicherzustellen, dass die Software immer regelmäßig aktualisiert wird. Darüber hinaus sollte das Abspielen einer nicht vertrauenswürdigen MKV-Formatdatei im Mediaplayer vermieden werden. Die aktuelle Version von VLC ist 3.0.7.1.