News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[usb2_2]

Diese Warnung scheint etwas überzogen. Vielleicht sollte man die Leute eher davor warnen einfach irgendwelche Sachen von irgendwo runterzuladen.

Alles kann eine Gefahr sein. Selbst der Download und die Installation eines neuen Mediaplayers. Für die Zwischenzeit kann man für das meisten auch einfach den Player von MS nutzen und nach einem fix den VLC behalten.

Die MS Programme können inzwischen ganz schön viel. Selbst die Fotos App kann Videos erstellen und schneiden.

 

[Gamefaq]

Kennt wer einen Player der so ist wie der Media Player Classic Home Cinema? Leider wird der nicht mehr weiterentwickelt :-(

Doch ein anderer Entwickler namens clsid2 hat schon vor geraumer Zeit das Projekt "inoffiziell" übernommen weil der Original Entwickler nichts mehr macht. Inoffiziell deswegen weil er einen sogenannten Fork erstellt hat. Sprich es basiert auf der letzten offiziellen v1.7.13 und ist mittlerweile bei v1.8.7 angekommen. Das letzte Update ist 3 Tage alt. Download hier.
Ich würde Computerbase empfehlen das in seine Download Datenbank zu übernehmen da es gegenüber dem alten mpc-hc weiterhin gepflegt wird. (Stichwort: Sicherheit...)

 

[SVΞN]

Sorry, aber der Artikel ist ja mal echt scheiße recherchiert. Man erfährt hier im Forum durch die User mehr, als durch den Artikel.

Danke für die Blumen, du solltest aber in Betracht ziehen dass man in einem offiziellen Artikel [sowohl hier als auch Heise] nur über Fakten sprechen/schreiben kann.

Heise schreibt selbst folgendes:

Dies legt die Vermutung nahe, dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss. Explizit erwähnt beziehungsweise bestätigt wird dies aber weder in der Meldung von CERT-Bund noch im NVD-Eintrag. (ovw)

 

[Phneom]

Was wären denn empfehlenswerte Alternativen neben "Media Player Classic"?

Ich fand bisher MPV oder SMPlayer sehr gut

 

[Zero_Point]

Welche Website / Tool ist das auf deinem Screenshot?

https://www.virustotal.com/gui/home/upload

 

[Launebub]

Ist es eigentlich zu viel verlangt, im Artikel auch mal zu erwähnen, worin diese Sicherheitslücke besteht? Macht schon nen Unterschied, ob es ausreicht, VLC einfach nur zu starten oder eine präparierte Datei damit zu öffnen...

Das ist Absicht

 

[SVΞN]

Das ist Absicht

Du bringst es auf den Punkt [oder auch nicht.]

 

[Zero_Point]

Danke für die Blumen, du solltest aber in Betracht ziehen dass man in einem offiziellen Artikel [sowohl hier als auch Heise] nur über Fakten sprechen/schreiben kann.

Heise schreibt selbst folgendes:

Dies legt die Vermutung nahe, dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss. Explizit erwähnt beziehungsweise bestätigt wird dies aber weder in der Meldung von CERT-Bund noch im NVD-Eintrag. (ovw)

Und warum lässt du den Leser das nicht selbst einordnen und enthältst ihm eine extrem wichtige Info? Heise hat das gemacht.

 

[SVΞN]

Und warum lässt du den Leser das nicht selbst einordnen und enthältst ihm eine extrem wichtige Info? Heise hat das gemacht.

Weil das keine Info ist, sondern eine Mutmaßung.

Wie Heise schon schreibt: Dies legt die Vermutung nahe, dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss...

Ich habe mich an die Fakten gehalten, an das was BSI, CERT & Co. an Fakten liefern. An „...dies legt die Vermutung nahe“ beteilige ich mich nicht. Ganz einfach.

 

[Ecoli86]

VLC hat gerade einen Audit. Gibt es da wohl einen Zusammenhang zu dem bug? nur schnelles googlen ergibt https://www.google.com/amp/s/www.zd...4-open-source-projects-starting-january-2019/

Wann wird/ist die nächste Meldung aus dem neusten Putty changelog geschrieben, der das EU Programm erwähnt?

Wo schreibt das BSI überhaupt, dass man Alternativen wählen soll?

Gibt es eine angebliche Alternative, die einen Audit vor kurzem, und mit welcher Expertise vorweisen kann?

 

[UrlaubMitStalin]

Mittlerweile gibt es ganz gute Alternativen. Kodi zum Beispiel.

Das ist als ob man einen Kleinwagen gegen ein Wohnmobil austauscht...

Ich bleibe bei VLC... eine Alternative hat das Amt ja nicht genannt.

 

[usb2_2]

An „...dies legt die Vermutung nahe“ beteilige ich mich nicht. Ganz einfach

Finde ich persönlich ja immer schade, mir ist es aber auch nicht zu aufwändig kurz in die Kommentare zu gucken.

Die Fakten, die die Quellen liefern sind sowieso etwas fragwürdig, wenn du sie richtig übernommen hast. Sie warnen vor Version 3.0.7.1 aber wissen nicht, ob es momentan ein Angriff dafür gibt. Wenn es aber ein einfacher Angriff ist sollten sie das doch mal eben vor der Warnung testen können. Die Version gibt es ja schon einige Wochen.

PS: ich zweifle nicht daran, dass du die Versionsnummern richtig übernommen hast...

 

[Zero_Point]

Weil das keine Info ist, sondern eine Mutmaßung.

Wie Heise schon schreibt: Dies legt die Vermutung nahe, dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss...

Ich habe mich an die Fakten gehalten, an das was BSI, CERT & Co. an Fakten liefern. An „...dies legt die Vermutung nahe“ beteilige ich mich nicht. Ganz einfach.

Du setzt also auf Panikmache und lässt die Leser den VLC provisorisch deinstallieren, weil er sooo unsicher ist anstatt ihn das persönliche Risiko selbst einschätzen zu lassen?
Mal ganz nebenbei ist diese Info/Vermutung von Heise nicht aus der Luft gegriffen, sondern vernünftig und nachvollziehbar begründet.

Wenn es um neue GPUs und CPUs geht, dann spielen Fakten seltsamerweise keine Rolle mehr und es reichen vage Gerüchte. Schöne Doppelmoral hier.

 

[failXontour]

Ein Grund mehr bei VLC Media Player im moment zu bleiben.Vermehrt dieses Jahr meine ich wurden über Sicherheitslücken im VLC Player berichtet, doch wie ich das sehe und Ecoli scheinbar hier bestätigt werden solchen Audits aktiv die Entwickler unterstüzt die Software sicher zu machen alle Admin/Systemadministratoren sollen damit gewarnt werden im Großflächigen-Einsatz kein VLC im moment einzusetzen, sondern auf alternativen wie WMP und im Notfall auf MPC-HC zurückzugreifen.

Doch mit einem Update in VLC 3.07 enthalten, schon bereits das Problem löst sehe ich hier für den Privaten eigentlich mehr ein Problem, daher auch gerechtfertigt die News mit Klickbait-Artikel das es auch jeder Dödel der mit PCs etwas zu tun in den Kopf bekommt die Software aktuell zu halten. Denn genau diese Updaten ihre Software nicht so Regelmäßig wie Sie eigentlich sollten gerechtfertigte Warnung meiner Meinung nach lieber so als anders.

Nur was ich nicht verstehe ist warum solche AdWare wie PotPlayer empfohlen wird in Tagen wo es GitHub gibt und viele Alternativen. PotPlayer = für den Pott reichte schon der Blick auf die Webseite.

 

[SVΞN]

PS: ich zweifle nicht daran, dass du die Versionsnummern richtig übernommen hast...

Ich auch nicht.

Was der ein oder andere hier [und damit meine ich nicht dich] hier mal begreifen muss, weder ich noch ComputerBase warnen hier vor der Nutzung des VLC Media Players, sondern das BSI und CERT.

Wir [und in dem Fall ich] bringen die News und ich habe als Quelle ja nicht ohne Grund nicht etwa Heise angegeben sondern den Bericht des CERT. Da kann sich doch ein jeder ein Bild der über die tatsächliche Bedrohung machen.

Du setzt also auf Panikmache und lässt die Leser den VLC provisorisch deinstallieren, weil er sooo unsicher ist anstatt ihn das persönliche Risiko selbst einschätzen zu lassen?

Tut mir Leid, aber was du da sagst und deine Argumentation dahinter ist völliger Blödsinn. Die News besagt einzig dass das BSI und das CERT empfehlen VLC zu meiden und durch einen anderen Media Player zu ersetzen und das ist ein Fakt.

BSI und CERT geben exakt diese Empfehlung, nicht ich, nicht ComputerBase.

Für jeden der sich tiefergehend informieren will habe ich sowohl die BSI als auch CERT und zudem die NVD Quelle angegeben.

An Mutmaßungen beteilige ich mich dennoch nicht, tut mir leid.

 

[usb2_2]

Wenn es um neue GPUs und CPUs geht, dann spielen Fakten seltsamerweise keine Rolle mehr und es reichen vage Gerüchte. Schöne Doppelmoral hier

Es gibt aber schon noch einen Unterschied zwischen einer eventuell falschen Entwarnung vor einer Sicherheitslücke mit Konsequenzen und der Publikation von glaubwürdigen Gerüchten (da aus Herstellerkreis und intern eh bestätigt) über neue CPUs, die im schlimmsten Fall halt falsch sind aber keine Konsequenzen mit sich bringen.

Das kann man nicht vergleichen

 

[MR2007]

Man sollte meinen Heise kennt sich mit IT aus...

Das ist alles andere als eine reine Vermutung. Hier ist der Vulnerability Report, welcher durch das VLC Team bestätigt wurde: https://hackerone.com/reports/484398
VLC hat es übrigens als "Medium severity impact" eingestuft.

 

[SVΞN]

Du setzt also auf Panikmache und lässt die Leser den VLC provisorisch deinstallieren (...)

Weshalb provisorisch? In den Quellen von BSI, CERT und NVD steht doch alles drin was es zum aktuellen Zeitpunkt zu dieser Sicherheitslücke zu sagen gibt. Alle diese Quellen habe ich nicht nur genannt sondern sogar direkt verlinkt.

(...) weil er sooo unsicher ist anstatt ihn das persönliche Risiko selbst einschätzen zu lassen?

Ein jeder kann doch anhand der Quellen entscheiden ob die Sicherheitslücke für ihn relevant ist oder nicht.

Wo liest du in meinem Artikel dass ich dieser Ansicht oder Argumentation folge oder diese gar unterstützte?

Ich nenne nur Fakten und Fakt ist, BSI und CERT empfehlen sich einen alternativen Media Player zu besorgen. Ob ich diese Ansicht teile? Völlig irrelevant.

 

[Arcturus128]

Die News besagt einzig dass das BSI und das CERT empfehlen VLC zu meiden und durch einen anderen Media Player zu ersetzen und das ist ein Fakt.

In meinen Augen ist genau das das Problem. Es ist ein wenig "dünn" lediglich darüber zu berichten, dass das BSI warnt. Da gehört schon mehr dazu, ein wenig Recherche was es damit auf sich hat, wie groß das Risiko potentiell ist, was für ein Fehler da ausgenutzt werden kann etc.

 

[usb2_2]

@MR2007 danke für den Link.

Da steht ja sogar was von einem fix unter 3.0.7 also ist die Warnung vor 3.0.7.1 Quatsch, wenn der fix denn auch wirklich kam.

Hat die Stelle, die die Warnung veröffentlicht hat sich den Report mal angesehen und das bemerkt? Übersehe ich etwas offensichtliches?

As an update, a patch will be released shortly under VLC version 3.0.7