[English]In allen aktuellen Versionen des VLC-Player bis zur V3.0.7.1 gibt es eine kritische Schwachstelle, die einen Denial of Service-Angriff ermöglicht. Das BSI hat eine Warnung ausgesprochen.
Anzeige
VLC Media Player ist ein Programm zur Wiedergabe von Multimedia-Dateien und Netzwerkstreams. Es ist kostenlos auf der Video LAN-Webseite erhältlich und recht populär. Der VLC Media Player steht für Windows, macOS, Linux, Android etc. zur Verfügung.
Die BSI-Warnung
In diesem Dokument gibt das BSI an, dass der VLC-Player bis zur Version 3.0.7.1 eine kritische Denial of Service-Schwachstelle aufweist. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um das Programm zum Absturz zu bringen. Dabei muss eine modifizierte Datei des Angreifers geöffnet werden um die Schwachstelle auszunutzen.
Das BSI bezieht sich auf diese Security-Focus-Meldung, welches zum 14. Juni 2019 eine VideoLAN VLC CVE-2019-13602 Heap Based Buffer Overflow Vulnerability für alle VLC Player-Versionen berichtete.
Leider empfiehlt das BürgerCERT, die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. Allerdings gibt es keine aktualisierte Version des VLC-Player höher als die Version 3.0.7.1.
Anzeige
Details zum Fehler
Die National Vulnerability Database stuft hier die Schwachstelle mit einem 9.8 Base Score als kritisch ein. Dort gibt es den Hinweise, in welchem CPP-Modul die Schwachstelle gefunden wurde.
VideoLAN VLC media player 3.0.7.1 has a heap-based buffer over-read in mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp when called from mkv::Open in modules/demux/mkv/mkv.cpp.
Es kommt dort im MKV-Modul zu einem Heap-Buffer-Overflow, so dass Lesezeiger auf fremde Speicher zeigen können. Der Fehler tritt nach meiner Interpretation beim Öffnen und Decodieren von MKV-Dateien auf. Allerdings bin ich auf diesen Eintrag gestoßen, der das möglicherweise relativiert. Dort findet sich für CVE-2019-13602 der Text:
An Integer Underflow in MP4_EIA608_Convert() in modules/demux/mp4/mp4.c in VideoLAN VLC media player through 3.0.7.1 allows remote attackers to cause a denial of service (heap-based buffer overflow and crash) or possibly have unspecified other impact via a crafted .mp4 file.
Publish Date : 2019-07-14 Last Update Date : 2019-07-15
was konträr zu obiger Meldung in der National Vulnerability Database ist. Dort wird ein Problem auch in MP4-Dateien gemeldet und ein CVS-Score von 6.8 für den Denial Of ServiceOverflow angegeben. Eine möglicher Erklärung zur Diskrepanz findet sich hier.
Heise berichtet hier, dass keine Angriffsszenarien bekannt sind. Zur Zeit arbeiten die Entwickler des Video LAN-Projekts jedoch noch an einer Fehlerkorrektur. Auf GitHub gibt es seit dem 27. Juni2 2019 einen ersten Commit für diesen Fehler. Unklar ist, wann eine aktualisierte Fassung des VLC-Player freigegeben wird.
Angeblich Patch, VLC-Entwickler können Fehler nicht nachvollziehen
Ergänzung: Gerade sind mir auf Twitter zwei Informationen unter die Augen gekommen. In nachfolgendem Tweet geht es angeblich um einen Patch.
VLC HAS A PATCH, THIS ONE IS APPARENTLY BAD, PATCH NOW:
ICYMI: @SBSDiva @AdminKirsty @thurrott @maryjofoley @bdsams @mehedih_ @ruthm @SwiftOnSecurity @pcper @MalwareJake @JobCacka @etguennihttps://t.co/pv9EZGlXTH
— Crysta T. Lacey (@PhantomofMobile) 23. Juli 2019
Der Text besagt aber, dass der Patch seit 4 Wochen in Arbeit und zu 60% fertig sei – aber noch nicht ausgerollt werde. Zitat:
VLC Media Player's developer, the non-profit organisation VideoLAN, is currently working on a patch that, it claims, is now 60 per cent complete. The company has been working on the fix for the past four weeks, according to the bug report by the company.
Dagegen hat mich dann der zweite Tweet auf Twitter doch etwas verunsichert. How To Geek hat es zusammengefasst.
The VLC flaw isn't reproducible according to VLC's developers. VLC is fine. @videolan https://t.co/Mi8Z4z3bTZ by @chrisbhoffman
— How-To Geek (@howtogeek) 23. Juli 2019
Die Botschaft: CVE-2019-13615 lässt sich von den Video-LAN-Entwicklern nicht reproduzieren. Hier deren Tweet
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly…
— VideoLAN (@videolan) 23. Juli 2019
Did you even check this?
No one can reproduce this issue here.— VideoLAN (@videolan) 23. Juli 2019
Das ist natürlich übel – irgend etwas läuft dort wohl kräftig schief.
Aufklärung durch das VideoLAN-Projekt
Ergänzung: Die Entwickler des VideoLAN-Projekts haben nun das Geheimnis gelüftet. Folgender Tweet benennt die Sache.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) 24. Juli 2019
PC Games hat in diesem Artikel einige Details genannt. Das Problem besteht in einer Drittanbieter-Bibliothek libebml, die mit älteren Ubuntu-Versionen wie 18.04 ausgeliefert wurde. Dort wurde der Bug auch an das VideoLAN-Projekt gemeldet – was aber der falsche Adressat war. In VLC Player V3.0.3 und höher ist die korrekte Version der Bibliothek einfach mit dabei und alles ist gut. Danke an Markus für den Kommentar.
Anzeige
Den VLC nutze ich nur zum Abspielen von Filmen über den Mediaserver der Fritzbox per UPnP. Bei der Installation ist es wichtig, die Browser Plugins abzuwählen, damit keine Inhalte von Außen im Browser mit dem VLC abgespielt werden. Die Sachen können unbeabsichtigt installiert werden und man hat dann ein Einfallstor für Schadcode.
Als Sicherheitsmaßnahme sollten Browser Plugins zumindest so eingestellt sein, dass man vor der Ausführung gefragt wird.
Automatisches Abspielen ist immer riskant und darauf lauert Schadcode nur.
Sollte man bis zur Beseitigung der Schwachstelle VLC deinstallieren und/oder einen Alternativ-Player nehmen https://www.heise.de/tipps-tricks/VLC-Media-Player-Diese-Alternativen-gibt-es-4410385.html ?
Hatte die Frage heute schon vor dem Beitrag im Diskussions-Blog und bei VLC Media Player 3.0.7.1 mit Green-Flickering Bugfix gestellt. Kann dort gelöscht werden, Herr Born.
Ich würde den VLC erst einmal auf dem System belassen. Lokal vorhandene ältere Videodateien Stufe ich als unkritisch ein. Die Schwachstelle wird ja noch nicht ausgenutzt. Und aktuell sieht es so aus, als ob ein präpariertes Video das Programm und ggf. das Betriebssystem zum Hängen bringt.
Von den im Link gelisteten kostenlosen Alternativen ist eigentlich nur der SMPlayer noch eine echte Alternative, seitdem dem MPC HC Projekt die Entwickler abhanden gekommen sind (letztes offizielles Release von 2017!). BS.Player und KMPlayer sind (waren?) in ihren Free Versionen mit Adware verseucht. BS.Player zeigt zudem noch ein Wasserzeichen im Video an -> für mich ein No-Go! Und beim Realplayer sieht man schon die Werbung im Hauptfenster, wie beim KMPlayer auch.
In der Liste im Link fehlt mir jedoch der MPC BE (Black Edition), der, ähnlich wie der MPC HC auf dem MPC basiert aber keine "integrierten" Codec Filter besitzt (müssen separat heruntergeladen und installiert werden).
Oder aber man geht den klassischen Weg: MPC und ein Codec Pack seiner Wahl (z.B. K-Lite).
es gibt auch noch einen fork von clsid2. bei portableapps[.com] hat dieser fork das offizielle mpc-hc abgeloest.
https://github.com/clsid2/mpc-hc/releases
"Due to a lack of active developers, the player is currently in maintenance mode. This means that there no plans for adding any new features. Development is limited to small bug fixes. The internal codecs are developed in an external project (LAV Filters). That project is still actively maintained, and MPC-HC will be updated periodically with the latest codecs. Same applies to code/files from other external projects that are used by MPC-HC, such as MediaInfo."
https://github.com/clsid2/mpc-hc
Hinweis zum download:
Den VLC-Player immer von der Original-Seite
https://www.videolan.org
downloaden.
NIE von der Seite https://www.vlc.de/, da wird nur sinnloser Müll mit heruntergeladen.
Inzwischen wird bei mir auch durch ublock origin vor dem Aufruf dieser Seite gewarnt…..
Es scheint tatsächlich eine Schwachstelle in Ubuntu zu sein, bzw. eine veraltete library. VLC ist dann einfach davon betroffen.
"irgend etwas läuft dort wohl kräftig schief."
Es läuft schief? ja, in den Medien – weil es eine 1a Ente ist!
Es ist – offensichtlich – viel zu früh und zu laut vorm vlc gewarnt worden. Und dem Project damit ein unnötiger Imageschaden verpasst worden.
=> viel Lärm um nichts! daher next time vlt besser etwas genauer hinschauen…
;)
Schlicht einfach die Texte und die Kommentare hier durchlesen und informiert sein ;-)
BTW: Heise hat einen lesenswerten Artikel zum Thema veröffentlicht:
Schlammschlacht um Sicherheitslücke: VLC-Entwickler warnen vor Fake News
https://www.borncity.com/blog/2019/07/24/doch-keine-schwachstelle-cve-2019-1361-im-vlc-player/#comment-75308