Der deutsche CERT-Bund hat kürzlich eine vermeintliche Sicherheitslücke im VLC Player entdeckt. Dabei hat man der Lücke einen Schweregrad von 9,8 aus 10 Punkten gegeben, was natürlich in unzähligen Medien ohne Überprüfung berichtet wurde. Sehr bald empfahlen „Fachmagazine“ ihre besten Alternativen zur Software, selbstverständlich inklusive ihres eigenen, „sicheren“ Installationsprogramms.
Kaum eines dieser IT-Magazine hat sich tatsächlich damit beschäftigt, wie diese Lücke genau aussieht oder mangels technischen Wissens wenigstens bei den Entwicklern nachgefragt. Die Entwickler des VLC Players haben sich nun auf Twitter zu Wort gemeldet und ihrer Kritik verständlicherweise freien Lauf lassen. Der CERT-Bund hat eine völlig schwachsinnige, längst nicht mehr existente Lücke an die zentrale Registrierungsstelle für Sicherheitslücken berichtet. Dort wurde dann auch noch ohne Nachfrage bei den Entwicklern eine Sicherheitslücke geöffnet und die Negativschlagzeilen über VLC waren praktisch geschrieben.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
VideoLAN, die Entwickler hinter VLC, berichten auf Twitter ihre Perspektive der Dinge, was ein klares Versagen auf einer Vielzahl von Ebenen offenbart. Die Sicherheitslücke in VLC betraf nicht VLC selbst, sondern tatsächlich eine externe Bibliothek namens libebml. Diese Lücke wurde allerdings bereits vor mehr als 16 Monaten geschlossen. Die Lücke existiert also faktisch seit mehr als einem Jahr nicht mehr. In VLC 3.0.3 ist die aktualisierte Bibliothek bereits enthalten. Der Software-Hersteller hat einen Fehlerbericht eines Nutzers erhalten, konnte das Problem aber nicht nachvollziehen. Man fragte bei diesem Entwickler nach, der die „Sicherheitslücke“ gefunden hatte, erhielt aber keine Antwort. Aus ungeklärten Gründen hat die Verwaltungsbehörde für die Klassifizierung von Sicherheitslücken dann eine CVE für diese nicht mehrexistente Lücke erstellt. Eine Nachfrage beim Hersteller gab es vorher nicht. Das CERT, Deutschlands Bundes Computer Emergency Response Team, beschloss dies ebenfalls als Sicherheitslücke zu klassifizieren.
Den Medien haben die Entwickler hinter dem VLC Player nur eines zu sagen:“Schämt euch!“ Und das völlig zurecht. Der Schaden ist allerdings angerichtet.
@CHIP_online Euer Installer inklusive??
Artikel wurde nicht mal aktualisiert. Aber bei der Lücke + Alternativen war man ganz schnell. #VLC pic.twitter.com/M5wQPVZQ7K
— WindowsArea.de (@WindowsArea) July 24, 2019
„Der Schaden ist allerdings angerichtet.“ Das ist nur bedingt der Fall, da kaum noch leute den scheiß auf Chip lesen. Chip ist sowieso der letzte dreck geworden. Ich kann mich noch sehr gut an zeiten erinnern wo chip wirklich gut war. Man hat dort alles an software bekommen was man so brauchte. Bis, ja bis der installer mit der ganzen adware kam. Zuvor noch artikel geschrieben wo chip dies selbst bei anderen portalen bemängelte und jetzt machen die es selbst. Alles mögliche an quatsch wird dort mitinstalliert, wenn man nicht aufpasst. Ich habe chip schon lange den rücken gekehrt. Ich… Read more »