BSI warnt vor VLC Media Player

Update: Statement vom VLC-Team
BSI warnt vor VLC Media Player

Aufgrund seiner Quelloffenheit, ist VLC einer der beliebtesten Mediaplayer. Doch in der Software schlummert eine schwerwiegende Sicherheitslücke, die noch nicht geschlossen wurde - weshalb man sich aktuell nach einer Alternative umschauen sollte.

Update vom 24. Juli, 15:30 Uhr:

Die VLC-Entwickler haben auf Twitter geschrieben, dass es keine Sicherheitslücke in VLC gebe. Das Problem liege in einer von VLC verwendeten Bibliothek - sei in dieser jedoch geschlossen, gegebenenfalls braucht man hier also die aktuelle Version. CERT-Bund hat die Meldung mittlerweile ebenfalls angepasst und auf Risikostufe 2 oder "niedrig" heruntergestuft.


Der vom CERT des Bundesamtes für Sicherheit in der Informationstechnik gemeldete Sicherheitslücke in VLC 3.0.7.1 wird mit der Risikostufe 4 oder "hoch" (gelistet als CVE-2019-13615 mit Score 9,8 "kritisch") bewertet. Die Schwachstelle ermöglicht es Angreifern, Code aus der Ferne auszuführen. Das kann für eine Denial-of-Service-Attacke genutzt werden, aber auch, um Dateien zu manipulieren und Informationen auszulesen.

vlc media player
Wenn Ihr VLC unter Windows, Linux oder Unix installiert habt, solltet Ihr die Software besser deinstallieren / © VLC

Es sieht so aus, als sei die Schwachstelle bisher nicht ausgenutzt worden. Betroffen sind laut der Meldung die VLC-Versionen für Windows, Linux und Unix - macOS ist ausgenommen. Mobile Betriebssysteme werden in der Sicherheitsmeldung ebenfalls nicht erwähnt.

VideoLAN ist sich des Problems bewusst und arbeitet bereits an einem Patch. Der ist aber noch nicht verfügbar. Das bedeutet, dass die einzige Schutzmaßnahme darin besteht, in der Zwischenzeit auf eine Alternative auszuweichen.

Verwendet Ihr VLC? Werdet Ihr die Software jetzt deinstallieren?

Via: Gizmodo Quelle: Winfuture

Neueste Artikel

16 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Ich sehe keinen Grund den VLC-Player nicht zu benutzen oder gar zu deinstallieren. Hinter all den Meldungen bezüglich Sicherheitslücken steckt viel Panikmache und Übertreibung.
    Selbst wenn da eine Lücke sein sollte, müsste ein vermeindlicher Angreifer das auch noch mitbekommen. Mit entsprechender Sicherheitssoftware mach ich mir aber über sowas keine Gedanken. Wer seine Geräte nur mit Freeware schützt ist selber schuld, wenn mal was nicht so gut läuft.
    Für mich gibt es zum VLC-Player keine passende Alternative und das wofür ich den Player einsetze, sind private Videos, die bestimmt nicht manipuliert sind. :)


  • Bevorzuge eh meinen Samsung Player. Und vlc lösche ich erstmal.



  •   77
    Gelöschter Account 24.07.2019 Link zum Kommentar

    Thank's for the News... Aber die Welt wird sich morgen noch drehen oder?


  • Ich hab auf meinem Mate 7 2.5.5. also alt.


  • mein VLC lautet 3.1.7

    da sollte das doch bereits behoben sein , nä ? oder betrifft es diese Version AUCH ?


  • Ja, VLC ist seit Jahren mein Medienplayer.

    Solange die Mediendateien vertrauenswürdig sind, ist die Sicherheitslücke kein Problem. Streamen würde ich aktuell lieber nicht mit dem VLC, aber Streaming ist für mich ohnehin noch immer untergeordnet. Neue Dateien aus dem Internet laden und lokal abspielen kann auch zum Problem werden, genauso wie Dateien, die man bereits hat und die böses enthalten, ohne dass man es weiß. Aber dann könnte das Kind schon in den Brunnen gefallen sein.


  • Wäre schön wenn ihr erwähnen würdet was notwendig ist um die Lücke ausnutzen zu können. Einfach so werden die Hacker wohl kaum Zugriff auf den Rechner haben.


  •   44
    Gelöschter Account 24.07.2019 Link zum Kommentar

    Wenn man jede Software deinstallieren würde, weil sie aktuell eine ungepatchte Sicherheitslücke enthält, bliebe nicht viel übrig.

    BTW: Bei der verlinkten BSI Kurzinfo ist das Risiko mit 2 (niedrig) angegeben.


    • "Wenn man jede Software deinstallieren würde, weil sie aktuell eine ungepatchte Sicherheitslücke enthält, bliebe nicht viel übrig."
      nicht viel? egal welches 'OS du druf hast, du müsstest unter anderem genau das runterwerfen nur das du ohne OS nur noch nen Briefbeschwerer hättest.


  • Wäre nicht schlecht wenn man noch dazu schreibt um welche Versionsnummer des VLC Players es geht! 😉


    • 3.0.7.1. Wir haben es nachgetragen. :)


    •   44
      Gelöschter Account 24.07.2019 Link zum Kommentar

      3.0.7.1 - findet man in den verlinkten Infos.

      Wenn es keinen Patch gibt, muss es sich zwangsläufig um die aktuelle Version handeln.
      Ob auch ältere Versionen betroffen sind, hat auch das BSI nicht angegeben.

      Edit: da war ich aber ziemlich langsam beim schreiben.

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!