Verwirrung über eine kürzlich gemeldete Sicherheitslücke im VLC Media Player

Im Internet tauchten allmählich Berichte über eine kritische Sicherheitslücke im beliebten Multimedia-Player VLC Media Player auf.

Update : VideoLAN hat bestätigt, dass es sich bei dem Problem nicht um ein Sicherheitsproblem in VLC Media Player handelt. Die Ingenieure stellten fest, dass das Problem durch eine ältere Version der Drittanbieter-Bibliothek namens libebml verursacht wurde, die in älteren Versionen von Ubuntu enthalten war. Der Forscher hat anscheinend diese ältere Version von Ubuntu benutzt. Ende

Sam Rutherford von Gizmodo schlug vor, VLC sofort zu deinstallieren, und der Tenor anderer Tech-Magazine und Sites war größtenteils identisch. Sensationelle Schlagzeilen und Geschichten generieren viele Seitenaufrufe und Klicks, und das ist wahrscheinlich der Hauptgrund, warum Websites diese verwenden, anstatt sich auf Schlagzeilen und Artikel zu konzentrieren, die nicht so sensationell sind.

Der Fehlerbericht, der unter CVE-2019-13615 eingereicht wurde, bewertet das Problem als kritisch und gibt an, dass es VLC Media Player 3.0.7.1 und frühere Versionen des Media Players betrifft.

Alle Desktop-Versionen von VLC Media Player, die für Windows, Linux und Mac OS X verfügbar sind, sind laut Beschreibung von dem Problem betroffen. Ein Angreifer kann Code remote auf betroffenen Geräten ausführen, wenn die Sicherheitsanfälligkeit laut Fehlerbericht erfolgreich ausgenutzt wird.

Die Beschreibung des Problems ist technisch, enthält jedoch wertvolle Informationen zu der Sicherheitsanfälligkeit:

VideoLAN VLC Media Player 3.0.7.1 verfügt über einen Heap-basierten Puffer, der in mkv :: demux_sys_t :: FreeUnused () in modules / demux / mkv / demux.cpp überlesen wird, wenn er von mkv :: Open in modules / demux / mkv / aufgerufen wird. mkv.cpp.

Die Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn Benutzer speziell vorbereitete Dateien mit VLC Media Player öffnen. Eine Beispiel-Mediendatei, die das mp4-Format verwendet, ist der Liste der Fehlerspuren beigefügt, die dies zu bestätigen scheint.

VLC-Ingenieure haben Ad-Probleme, das Problem zu reproduzieren, das vor vier Wochen auf der offiziellen Bug-Tracking-Site eingereicht wurde.

Projektleiter Jean-Baptiste Kempf gab gestern bekannt, dass er den Fehler nicht reproduzieren konnte, da er VLC überhaupt nicht zum Absturz brachte. Andere, z. B. Rafael Rivera, konnten das Problem auch in mehreren VLC Media Player-Versionen nicht reproduzieren.

VideoLAN ging zu Twitter, um die berichtenden Organisationen MITRE und CVE zu beschämen.

Hey @MITREcorp und @CVEnew, die Tatsache, dass Sie uns NIEMALS jahrelang wegen VLC-Schwachstellen kontaktieren, bevor Sie veröffentlichen, ist wirklich nicht cool. Zumindest können Sie Ihre Daten überprüfen oder sich selbst davon überzeugen, bevor Sie eine 9.8 CVSS-Sicherheitsanfälligkeit öffentlich machen ...

Übrigens, dies ist keine VLC-Schwachstelle ...

Die Organisationen haben VideoLAN laut VideoLANs Beitrag auf Twitter nicht über die Sicherheitslücke in Advanced informiert.

Was VLC Media Player-Benutzer tun können

Die Probleme, die Ingenieure und Forscher haben, um das Problem zu reproduzieren, machen es für Benutzer des Mediaplayers zu einer rätselhaften Angelegenheit. Ist die Verwendung von VLC Media Player in der Zwischenzeit sicher, da das Problem nicht so schwerwiegend ist wie ursprünglich vorgeschlagen, oder es handelt sich überhaupt nicht um eine Sicherheitsanfälligkeit?

Es kann eine Weile dauern, bis die Dinge geklärt sind. Benutzer könnten in der Zwischenzeit einen anderen Media Player verwenden oder der Einschätzung des Problems durch VideoLAN vertrauen. Es ist immer eine gute Idee, vorsichtig zu sein, wenn Dateien auf Systemen ausgeführt werden, insbesondere wenn sie aus dem Internet stammen und von Quellen stammen, denen nicht 100% vertraut werden kann.

Now You : Wie sehen Sie das ganze Thema? (über Deskmodder)