VLC: „Sicherheitslücke“ ist gar keine Sicherheitslücke

1

Der deutsche CERT-Bund hat kürzlich eine vermeintliche Sicherheitslücke im VLC Player entdeckt. Dabei hat man der Lücke einen Schweregrad von 9,8 aus 10 Punkten gegeben, was natürlich in unzähligen Medien ohne Überprüfung berichtet wurde. Sehr bald empfahlen „Fachmagazine“ ihre besten Alternativen zur Software, selbstverständlich inklusive ihres eigenen, „sicheren“ Installationsprogramms.

Kaum eines dieser IT-Magazine hat sich tatsächlich damit beschäftigt, wie diese Lücke genau aussieht oder mangels technischen Wissens wenigstens bei den Entwicklern nachgefragt. Die Entwickler des VLC Players haben sich nun auf Twitter zu Wort gemeldet und ihrer Kritik verständlicherweise freien Lauf lassen. Der CERT-Bund hat eine völlig schwachsinnige, längst nicht mehr existente Lücke an die zentrale Registrierungsstelle für Sicherheitslücken berichtet. Dort wurde dann auch noch ohne Nachfrage bei den Entwicklern eine Sicherheitslücke geöffnet und die Negativschlagzeilen über VLC waren praktisch geschrieben.

VideoLAN, die Entwickler hinter VLC, berichten auf Twitter ihre Perspektive der Dinge, was ein klares Versagen auf einer Vielzahl von Ebenen offenbart. Die Sicherheitslücke in VLC betraf nicht VLC selbst, sondern tatsächlich eine externe Bibliothek namens libebml. Diese Lücke wurde allerdings bereits vor mehr als 16 Monaten geschlossen. Die Lücke existiert also faktisch seit mehr als einem Jahr nicht mehr. In VLC 3.0.3 ist die aktualisierte Bibliothek bereits enthalten. Der Software-Hersteller hat einen Fehlerbericht eines Nutzers erhalten, konnte das Problem aber nicht nachvollziehen. Man fragte bei diesem Entwickler nach, der die „Sicherheitslücke“ gefunden hatte, erhielt aber keine Antwort. Aus ungeklärten Gründen hat die Verwaltungsbehörde für die Klassifizierung von Sicherheitslücken dann eine CVE für diese nicht mehrexistente Lücke erstellt. Eine Nachfrage beim Hersteller gab es vorher nicht. Das CERT, Deutschlands Bundes Computer Emergency Response Team, beschloss dies ebenfalls als Sicherheitslücke zu klassifizieren.

Den Medien haben die Entwickler hinter dem VLC Player nur eines zu sagen:“Schämt euch!“ Und das völlig zurecht. Der Schaden ist allerdings angerichtet.

Über den Autor

23 Jahre alt, Redakteur bei WindowsArea.de, Windows Insider MVP.

1
Hinterlasse einen Kommentar

Please Login to comment
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
1 Comment authors
abatabat Recent comment authors
  Subscribe  
neuste älteste beste Bewertung
Benachrichtige mich zu:
abatabat
Mitglied
abatabat

„Der Schaden ist allerdings angerichtet.“ Das ist nur bedingt der Fall, da kaum noch leute den scheiß auf Chip lesen. Chip ist sowieso der letzte dreck geworden. Ich kann mich noch sehr gut an zeiten erinnern wo chip wirklich gut war. Man hat dort alles an software bekommen was man so brauchte. Bis, ja bis der installer mit der ganzen adware kam. Zuvor noch artikel geschrieben wo chip dies selbst bei anderen portalen bemängelte und jetzt machen die es selbst. Alles mögliche an quatsch wird dort mitinstalliert, wenn man nicht aufpasst. Ich habe chip schon lange den rücken gekehrt. Ich… Read more »