{"id":220825,"date":"2019-07-20T10:55:44","date_gmt":"2019-07-20T08:55:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=220825"},"modified":"2023-09-04T19:25:01","modified_gmt":"2023-09-04T17:25:01","slug":"bsi-warnt-vor-schwachstelle-im-vlc-player-bis-v3-0-7-1","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/07\/20\/bsi-warnt-vor-schwachstelle-im-vlc-player-bis-v3-0-7-1\/","title":{"rendered":"BSI warnt vor Schwachstelle im VLC-Player bis V3.0.7.1"},"content":{"rendered":"

\"Sicherheit\"[English<\/a>]In allen aktuellen Versionen des VLC-Player bis zur V3.0.7.1 gibt es eine kritische Schwachstelle, die einen Denial of Service-Angriff erm\u00f6glicht. Das BSI hat eine Warnung ausgesprochen.<\/p>\n

<\/p>\n

\"\"VLC Media Player ist ein Programm zur Wiedergabe von Multimedia-Dateien und Netzwerkstreams. Es ist kostenlos auf der Video LAN-Webseite<\/a> erh\u00e4ltlich und recht popul\u00e4r. Der VLC Media Player steht f\u00fcr Windows, macOS, Linux, Android etc. zur Verf\u00fcgung.<\/p>\n

Die BSI-Warnung<\/h2>\n

In diesem Dokument gibt das BSI an, dass der VLC-Player bis zur Version 3.0.7.1 eine kritische Denial of Service-Schwachstelle aufweist. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um das Programm zum Absturz zu bringen. Dabei muss eine modifizierte Datei des Angreifers ge\u00f6ffnet werden um die Schwachstelle auszunutzen.<\/p>\n

Das BSI bezieht sich auf diese Security-Focus-Meldung, welches zum 14. Juni 2019 eine VideoLAN VLC CVE-2019-13602 Heap Based Buffer Overflow Vulnerability f\u00fcr alle VLC Player-Versionen berichtete.<\/p>\n

Leider empfiehlt das B\u00fcrgerCERT, die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schlie\u00dfen. Allerdings gibt es keine aktualisierte Version des VLC-Player h\u00f6her als die Version 3.0.7.1.<\/p>\n

Details zum Fehler<\/h2>\n

Die National Vulnerability Database stuft hier<\/a> die Schwachstelle mit einem 9.8 Base Score als kritisch ein. Dort gibt es den Hinweise, in welchem CPP-Modul die Schwachstelle gefunden wurde.<\/p>\n

VideoLAN VLC media player 3.0.7.1 has a heap-based buffer over-read in mkv::demux_sys_t::FreeUnused() in modules\/demux\/mkv\/demux.cpp when called from mkv::Open in modules\/demux\/mkv\/mkv.cpp.<\/p><\/blockquote>\n

Es kommt dort im MKV-Modul zu einem Heap-Buffer-Overflow, so dass Lesezeiger auf fremde Speicher zeigen k\u00f6nnen. Der Fehler tritt nach meiner Interpretation beim \u00d6ffnen und Decodieren von MKV-Dateien auf. Allerdings bin ich auf diesen Eintrag<\/a> gesto\u00dfen, der das m\u00f6glicherweise relativiert. Dort findet sich f\u00fcr CVE-2019-13602 der Text:<\/p>\n

An Integer Underflow in MP4_EIA608_Convert() in modules\/demux\/mp4\/mp4.c in VideoLAN VLC media player through 3.0.7.1 allows remote attackers to cause a denial of service (heap-based buffer overflow and crash) or possibly have unspecified other impact via a crafted .mp4 file.
\nPublish Date : 2019-07-14 Last Update Date : 2019-07-15<\/p><\/blockquote>\n

was kontr\u00e4r zu obiger Meldung in der National Vulnerability Database ist. Dort wird ein Problem auch in MP4-Dateien gemeldet und ein CVS-Score von 6.8 f\u00fcr den Denial Of ServiceOverflow angegeben. Eine m\u00f6glicher Erkl\u00e4rung zur Diskrepanz findet sich hier<\/a>.<\/p>\n

Heise berichtet hier<\/a>, dass keine Angriffsszenarien bekannt sind. Zur Zeit arbeiten die Entwickler des Video LAN-Projekts jedoch noch an einer Fehlerkorrektur. Auf GitHub gibt es seit dem 27. Juni2 2019 einen ersten Commit f\u00fcr diesen Fehler. Unklar ist, wann eine aktualisierte Fassung des VLC-Player freigegeben wird.<\/p>\n

Angeblich Patch, VLC-Entwickler k\u00f6nnen Fehler nicht nachvollziehen<\/h3>\n

Erg\u00e4nzung:<\/strong> Gerade sind mir auf Twitter zwei Informationen unter die Augen gekommen. In nachfolgendem Tweet geht es angeblich um einen Patch.<\/p>\n

\n

VLC HAS A PATCH, THIS ONE IS APPARENTLY BAD, PATCH NOW:<\/p>\n

ICYMI: @SBSDiva<\/a> @AdminKirsty<\/a> @thurrott<\/a> @maryjofoley<\/a> @bdsams<\/a> @mehedih_<\/a> @ruthm<\/a> @SwiftOnSecurity<\/a> @pcper<\/a> @MalwareJake<\/a> @JobCacka<\/a> @etguenni<\/a>https:\/\/t.co\/pv9EZGlXTH<\/a><\/p>\n

\u2014 Crysta T. Lacey (@PhantomofMobile) 23. Juli 2019<\/a><\/p><\/blockquote>\n