VLC: „Sicherheitslücke“ ist gar keine Sicherheitslücke

1

Der deutsche CERT-Bund hat kürzlich eine vermeintliche Sicherheitslücke im VLC Player entdeckt. Dabei hat man der Lücke einen Schweregrad von 9,8 aus 10 Punkten gegeben, was natürlich in unzähligen Medien ohne Überprüfung berichtet wurde. Sehr bald empfahlen „Fachmagazine“ ihre besten Alternativen zur Software, selbstverständlich inklusive ihres eigenen, „sicheren“ Installationsprogramms.

Kaum eines dieser IT-Magazine hat sich tatsächlich damit beschäftigt, wie diese Lücke genau aussieht oder mangels technischen Wissens wenigstens bei den Entwicklern nachgefragt. Die Entwickler des VLC Players haben sich nun auf Twitter zu Wort gemeldet und ihrer Kritik verständlicherweise freien Lauf lassen. Der CERT-Bund hat eine völlig schwachsinnige, längst nicht mehr existente Lücke an die zentrale Registrierungsstelle für Sicherheitslücken berichtet. Dort wurde dann auch noch ohne Nachfrage bei den Entwicklern eine Sicherheitslücke geöffnet und die Negativschlagzeilen über VLC waren praktisch geschrieben.

VideoLAN, die Entwickler hinter VLC, berichten auf Twitter ihre Perspektive der Dinge, was ein klares Versagen auf einer Vielzahl von Ebenen offenbart. Die Sicherheitslücke in VLC betraf nicht VLC selbst, sondern tatsächlich eine externe Bibliothek namens libebml. Diese Lücke wurde allerdings bereits vor mehr als 16 Monaten geschlossen. Die Lücke existiert also faktisch seit mehr als einem Jahr nicht mehr. In VLC 3.0.3 ist die aktualisierte Bibliothek bereits enthalten. Der Software-Hersteller hat einen Fehlerbericht eines Nutzers erhalten, konnte das Problem aber nicht nachvollziehen. Man fragte bei diesem Entwickler nach, der die „Sicherheitslücke“ gefunden hatte, erhielt aber keine Antwort. Aus ungeklärten Gründen hat die Verwaltungsbehörde für die Klassifizierung von Sicherheitslücken dann eine CVE für diese nicht mehrexistente Lücke erstellt. Eine Nachfrage beim Hersteller gab es vorher nicht. Das CERT, Deutschlands Bundes Computer Emergency Response Team, beschloss dies ebenfalls als Sicherheitslücke zu klassifizieren.

Den Medien haben die Entwickler hinter dem VLC Player nur eines zu sagen:“Schämt euch!“ Und das völlig zurecht. Der Schaden ist allerdings angerichtet.

0 0 votes
Article Rating

Über den Autor

1 Kommentar
neuste
älteste beste Bewertung
Inline Feedbacks
View all comments