Der deutsche CERT-Bund hat kürzlich eine vermeintliche Sicherheitslücke im VLC Player entdeckt. Dabei hat man der Lücke einen Schweregrad von 9,8 aus 10 Punkten gegeben, was natürlich in unzähligen Medien ohne Überprüfung berichtet wurde. Sehr bald empfahlen „Fachmagazine“ ihre besten Alternativen zur Software, selbstverständlich inklusive ihres eigenen, „sicheren“ Installationsprogramms.
Kaum eines dieser IT-Magazine hat sich tatsächlich damit beschäftigt, wie diese Lücke genau aussieht oder mangels technischen Wissens wenigstens bei den Entwicklern nachgefragt. Die Entwickler des VLC Players haben sich nun auf Twitter zu Wort gemeldet und ihrer Kritik verständlicherweise freien Lauf lassen. Der CERT-Bund hat eine völlig schwachsinnige, längst nicht mehr existente Lücke an die zentrale Registrierungsstelle für Sicherheitslücken berichtet. Dort wurde dann auch noch ohne Nachfrage bei den Entwicklern eine Sicherheitslücke geöffnet und die Negativschlagzeilen über VLC waren praktisch geschrieben.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
VideoLAN, die Entwickler hinter VLC, berichten auf Twitter ihre Perspektive der Dinge, was ein klares Versagen auf einer Vielzahl von Ebenen offenbart. Die Sicherheitslücke in VLC betraf nicht VLC selbst, sondern tatsächlich eine externe Bibliothek namens libebml. Diese Lücke wurde allerdings bereits vor mehr als 16 Monaten geschlossen. Die Lücke existiert also faktisch seit mehr als einem Jahr nicht mehr. In VLC 3.0.3 ist die aktualisierte Bibliothek bereits enthalten. Der Software-Hersteller hat einen Fehlerbericht eines Nutzers erhalten, konnte das Problem aber nicht nachvollziehen. Man fragte bei diesem Entwickler nach, der die „Sicherheitslücke“ gefunden hatte, erhielt aber keine Antwort. Aus ungeklärten Gründen hat die Verwaltungsbehörde für die Klassifizierung von Sicherheitslücken dann eine CVE für diese nicht mehrexistente Lücke erstellt. Eine Nachfrage beim Hersteller gab es vorher nicht. Das CERT, Deutschlands Bundes Computer Emergency Response Team, beschloss dies ebenfalls als Sicherheitslücke zu klassifizieren.
Den Medien haben die Entwickler hinter dem VLC Player nur eines zu sagen:“Schämt euch!“ Und das völlig zurecht. Der Schaden ist allerdings angerichtet.
@CHIP_online Euer Installer inklusive??
Artikel wurde nicht mal aktualisiert. Aber bei der Lücke + Alternativen war man ganz schnell. #VLC pic.twitter.com/M5wQPVZQ7K
— WindowsArea.de (@WindowsArea) July 24, 2019