Verwirrung um kritische 0-Day-Lücke in VLC 3.0.7.1
MSI I Love You 3000 AMD

Verwirrung um kritische 0-Day-Lücke in VLC 3.0.7.1

Meldung von doelf, Montag der 22.07.2019, 10:58:15 Uhr

Das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) warnt vor einer kritischen 0-Day-Lücke im quelloffenen Mediaplayer VLC, verwickelt sich dabei aber in Widersprüche. Die Entwickler von VideoLAN scheinen derweil Probleme zu haben, den Fehler nachzustellen.

Die Sicherheitslücke
Das BSI verweist in seiner Meldung vom 19. Juli 2019 auf den Eintrag CVE-2019-13615 in der "National Vulnerability Database", der seinerseits auf dem 16. Juli 2019 datiert. Aus diesem geht hervor, dass sich der Fehler recht einfach über das Netzwerk angreifen lässt und mit einer Base-Score von 9,8 aus 10,0 gemäß CVSS v3.0 extrem gefährlich ist. Der Angreifer benötige keine besonderen Rechte und es ist auch keine Interaktion des Benutzers erforderlich. Betroffen ist die aktuelle Version 3.0.7.1 des VLC Players und bisher gibt es noch keine Gegenmaßnahmen.

Datenangriff oder Code-Ausführung?
In den weiteren Ausführungen finden sich allerdings Widersprüche: Der Eintrag im NVD bezieht sich auf einen Stapelüberlauf in der Funktion mkv::demux_sys_t::FreeUnused(), welche aus dem Modul modules/demux/mkv/demux.cpp stammt. Dieser ermöglicht einen unkontrollierten Lesezugriff - allerdings nur bei einem Aufruf über mkv::Open aus dem Programmmodul modules/demux/mkv/mkv.cpp. Neben dem Abgriff von Informationen soll die Sicherheitslücke auch deren Modifikation sowie DoS-Angriffe ermöglichen. Derweil warnt das BSI vor dem "Ausführen beliebigen Programmcodes" und nennt als betroffene Plattformen neben Windows auch macOS und Linux. Im NVD-Eintrag findet sich klein Hinweis auf die betroffenen Betriebssysteme.

VideoLAN widerspricht Absturz
Der Bug-Tracker von VLC beschränkt den Pufferüberlauf auf GNU/Linux. Das kritische Problem ist VideoLAN seit vier Wochen bekannt und wird mit "höchster Priorität" behandelt. Der letzte Eintrag ist knapp einen Tag alt und stammt von Jean-Baptiste Kempf. Dieser hat vermerkt, dass sich die reguläre Veröffentlichung von VLC 3.0.7.1 über den beschriebenen Angriff nicht zum Absturz bringen lässt. Die als Beispiel hinterlegte Videodatei "heap-over-flow.mp4" zeigte auch bei uns in einem Schnelltest keinerlei Wirkung. Sie deutet aber den vermutlichen Angriffsvektor an: Eingebettet in eine Webseite kann man den Browser-Plug-ins von VLC manipulierte Videos unterschieben. Die Untersuchung der möglichen Sicherheitslücke geht indessen weiter.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]