Kritische Sicherheitslücke in aktueller VLC Media Player Version

19.07.2019 16:09 Uhr heise

Vorsicht: Kritische Schwachstelle in aktueller Version des VLC Media Player

Benutzer des VLC Media Players die Windows, Linux oder macOS verwenden, sollten sich vorerst überlegen, auf eine andere Mediaplayer-Software umzusteigen. Das CERT des Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund) hat eine Warnmeldung veröffentlicht, da die aktuelle Version 3․0․7.1 eine noch nicht behobene Sicherheitslücke aufweist die ein hohes Risiko für Remote-Angriffe darstellt.

Angreifer könnten Code ausführen

Laut Warnmeldung von CERT-Bund könnte ein entfernter, anonymer Angreifer die Lücke ausnutzen um "beliebigen Programmcode auszuführen, einen 'Denial of Service'-Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren". In der National Vulnerability Database (NVD) zu CVE-2019-13615 ist der Lücke ein CVSS-v3-Score von 9․8 ("critical") zugeordnet.

Dem in der NVD veröffentlichten CVSS-v3 Attack Vector ist außerdem zu entnehmen. Dass Komplexität eines Angriffs über die Sicherheitslücke niedrig ist und, dass ein solcher weder bestimmte Zugriffsrechte noch eine Nutzer-Interaktion mit der Software erfordern würde.

Über aktive Angriffe auf VLC 3․0․7.1 ist bislang nichts bekannt.

VLC arbeitet an der Fehlerbehebung

Die NVD verweist auf einen Eintrag im VLC-Bugtracker, dem unter anderem Details zur Sicherheitslücke und dem aktuellen Bugfixing-Status ("Work status") zu entnehmen sind. Demnach hat das Beheben des Sicherheitsproblems höchste Priorität.

Wann der Code gefixt sein und in eine abgesicherte VLC-Version einfließen wird ist derzeit aber noch nicht bekannt. Ebenso ist unklar; ebenso wie lange der zugrundeliegende Bug schon im Code schlummert und ob womöglich ebenfalls frühere Versionen der Software angreifbar sind.

Mehr zum Thema:

VLC Media Player ? Diese Alternativen gibt es

Update 19․07․19, 20:12: Wie Leser im heise-Security-Forum richtig bemerkt haben, hängt dem Bugtracker-Eintrag (möglicherweise als Proof-of-Concept) eine .mp4-Datei an. Dies legt die Vermutung nahe; dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss. Explizit erwähnt beziehungsweise bestätigt wird dies aber weder in der Meldung von CERT-Bund noch im NVD-Eintrag.

Zuletzt aktualisiert am 15.07.2023 14:16 Uhr

Kommentare

Ähnliche News

Amazon blockiert VLC Media Player auf Fire TV

Die Entwickler des VLC Media Players haben ihre Anwendung vom Fire TV entfernt, da Amazon sich geweigert hatte die neue Version der App zu genehmigen. Der VLC Media Player ist nicht weiterhin zum Download verfügbar.

Warnung vor Sicherheitslücke im VLC Media Player 3.0.7

CERT und BSI warnen vor VLC Media Player 3.0.7.1

Der VLC Media Player erfreut sich aufgrund seiner Fähigkeit, viele Formate auf unterschiedlichen Systemen abzuspielen, großer Beliebtheit und wurde bereits weiterhin als drei Milliarden Mal heruntergeladen.

Neue Funktion im VLC Media Player: 360-Grad-Videos abspielbar

Ab sofort können im VLC Media Player 360-Grad-Videos wiedergegeben werden. Die Vorab-Version des VLC Players unterstützt diese Funktion bereits. Am 30. November wurde die finale Version 3․0 veröffentlicht und beinhaltet nun ähnlich wie die Möglichkeit, 360-Grad-Inhalte abzuspielen.

VLC Media-Player 3.0 - Neue Features wie HDR, 360°-Videos und Chromecast-Support

VLC Media-Player - Version 3.0 mit HDR, 360°-Videos und Chromecast-Support

Der VLC Media-Player wird mit der Veröffentlichung der Version 3․0 um einige praktische Funktionen erweitert. Der Videoplayer gilt bei vielen Anwendern bereits als der beste Open-Source-Player überhaupt. Jetzt wird er jedoch noch leistungsfähiger.

Die Verbesserungen des Opus-Audiocodecs im VLC Media Player 2.0.4

VLC Media Player 2.0.4 unterstützt den Opus-Audiocodec

Das VideoLAN-Projekt hat kürzlich die Version 2․0․4 des VLC Media Players veröffentlicht die zahlreiche Verbesserungen und Fehlerbehebungen enthält. Unter anderem wurde der Opus-Audiocodec aktualisiert um die Sicherheit und Leistung zu optimieren.