VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

Sven Bauduin 465 Kommentare
VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen
Bild: BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team (CERT) warnten vor einer kritischen Sicherheitslücke im VLC Media Player und stuften diese mit der Risikobewertung „Hoch“ (Stufe 4) ein. Mittlerweile gibt es Entwarnung: Die Lücke bestand nur bis zur alten Version 3.0.3.

Aufgrund neuer Erkenntnisse gibt es Entwarnung. Titel und Einleitung wurden angepasst. Mehr Details stehen im Update am Ende der Meldung.

Aktuelle Version mit hohem Risikopotenzial für Remote-Attacken

Das BSI erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung und warnt nun vor einer kritischen Sicherheitslücke in der aktuellen Version 3.0.7.1 des beliebten Open Source Media Players. Laut Bundesbehörde besteht ein hohes Risikopotenzial für Remote-Attacken, bei denen anonyme Angreifer einen beliebigen Code auf dem kompromittierten System ausführen können. Die Sicherheitslücke betrifft Systeme mit Microsoft Windows, Unix und Linux-Distributionen.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren.

BSI

Auch die US-Regierung warnt in der National Vulnerability Database (NVD), ihrem Katalog für Sicherheitslücken, vor der Bedrohung. Dem Report ist zudem zu entnehmen, dass die Komplexität eines Angriffs vergleichsweise niedrig ist und ein potenzieller Angreifer keine speziellen Zugriffsrechte benötigt. Auch sie stuft die Sicherheitslücke mit einer Bewertung von 9,8 als kritisch ein.

Kein Sicherheitsupdate angekündigt

Bisher hat VideoLAN, die gemeinnützige Organisation hinter dem VLC Media Player, noch kein Sicherheitsupdate angekündigt. Da bereits die Versionsnummer 3.0.6 (und älter) anfällig für eingeschleusten Schadcode war, empfiehlt die Behörde Anwendern vorerst auf einen anderen Media Player auszuweichen. Über einen aktiven Angriff auf VLC 3.0.7.1 ist bislang jedoch noch nichts bekannt.

Update 21.07.2019 10:06 Uhr

Bugfix hat höchste Priorität

Einem Eintrag im VLC-Bugtracker ist zu entnehmen, dass das Team rund um den VLC Media Player mit höchster Priorität an der Behebung des Sicherheitsproblems arbeitet. Zum jetzigen Zeitpunkt steht allerdings noch nicht fest, in welcher Version ein möglicher Bugfix mit einfließen wird.

Dem Bugreport zufolge nutzt die Sicherheitslücke einen sogenannten „Heap-Buffer-Overflow“, was das Abspielen einer manipulierten Datei nötig macht, um das System kompromittieren zu können. Eine angehängte .mp4-Datei im VLC-Bugtracker untermauert diese Vermutung.

Die Redaktion dankt dem Community-Mitglied Sweepi für seinen Hinweis zu diesem Update.

Update 23.07.2019 13:48 Uhr

Noch immer kein Update in Sicht

Obgleich das Ticket im VLC-Bugtracker nunmehr seit vier Wochen existiert, wurde der „Work status“ nun auf „Not started“ geändert. Laut Report wird noch immer mit Priorität an dem kritischen Problem gearbeitet, ein Update ist aber nach wie vor nicht in Sicht. Anwendern sei daher weiterhin der temporäre Umstieg auf einen anderen Media Player empfohlen.

Die Redaktion dankt dem Community-Mitglied Tuxgamer42 für seinen Hinweis zum geänderten Status im VLC-Bugtracker.

Update 24.07.2019 16:18 Uhr

Relativ spät hat VideoLAN heute via Twitter Stellung bezogen und die Berichte um die Sicherheitslücke im Medienplayer VLC vehement zurückgewiesen. Der Player selbst sei gar nicht betroffen, vielmehr betreffe das Leck die Software-Bibliothek libebml eines Drittanbieters. Das Problem mit dieser Bibliothek sei bereits vor gut 1,5 Jahren mit Veröffentlichung von VLC 3.0.3 behoben worden.

VideoLAN wirft MITRE nicht nur fehlerhafte Recherche vor, sondern beschwert sich auch darüber, dass die Organisation im Vorfeld keinen Kontakt zum VLC-Entwickler gesucht habe, um auf das vermeintliche Sicherheitsleck hinzuweisen. Damit habe MITRE gegen die eigenen Richtlinien verstoßen und dies nicht zum ersten Mal, heißt es weiter auf Twitter.

Der CVE-Eintrag enthält bereits einen Hinweis auf eine „erneute Analyse“ und sollte bald korrigiert werden, sofern die Angaben von VideoLAN zutreffen.

Nachtrag: Im CVE-Eintrag wurde das Problem inzwischen auf die früheren Versionen bis VLC 3.0.3 eingegrenzt. Die aktuelle Fassung des VLC-Player ist also nicht betroffen.

Auch das CERT hat seine Meldung korrigiert und die Risikobewertung von „Hoch“ auf „Niedrig“ heruntergestuft.