VLC: Warnung vor kritischer 0-Day-Lücke war Fehlalarm
MSI RTX SUPER STEAM Bundle

VLC: Warnung vor kritischer 0-Day-Lücke war Fehlalarm

Meldung von doelf, Donnerstag der 25.07.2019, 15:55:22 Uhr

Zum Wochenauftakt hatten wir über eine widersprüchliche Warnung bezüglich einer kritischen 0-Day-Lücke im quelloffenen Mediaplayer VLC berichtet. Inzwischen steht fest, dass das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) und die "National Vulnerability Database" (NVD) der USA einen Fehlalarm verursacht hatten.

Der Eintrag CVE-2019-13615 in der NVD hatte einen kritischen Stapelüberlauf mit einer Base-Score von 9,8 aus 10,0 gemäß CVSS v3.0 beschrieben. Die extrem gefährliche Sicherheitslücke sollte in der aktuellen Version 3.0.7.1 des VLC Players stecken und sich sehr einfach und ohne besondere Berechtigungen ausnutzen lassen. Sie führe zu einem unkontrollierten Lesezugriff, der den Abgriff von Informationen sowie Modifikation und DoS-Angriffe ermögliche. Das BSI dichtete in seiner Meldung noch das Ausführen von Schadcode sowie Windows und macOS als zusätzlich zu Linux betroffene Plattformen hinzu.

Diesen Angaben widersprach allerdings der Bug-Tracker von VLC, dessen Eintrag das Problem auf GNU/Linux beschränkte und eine Ausnutzbarkeit in Verbindung mit der Version 3.0.7.1 verneinte. Auch wir konnten bei einem Schnelltest unter Windows und Linux keinen Absturz verursachen geschweige denn Schadcode ausführen. Inzwischen steht fest, dass der Fehler in der externen Bibliothek libebml steckte und in deren Version 1.3.6 behoben wurde. VLC hatte die Korrektur in der Version 3.0.3 übernommen und ist somit schon seit einiger Zeit abgesichert.

Dummerweise hatte das "National Institute of Standards and Technology" (NIST) bei den Entwicklern von VideoLAN nicht nachgefragt, so dass der fehlerhafte Eintrag in die NVD gelangte. Inzwischen haben BSI und NVD reagiert: Laut BSI ist das Risiko niedrig, während der Eintrag in der NVD ein mittleres Risiko (5,5) attestiert.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]