Update zur Sicherheitslücke im VLC Player: VLC gar nicht angreifbar?

Vor kurzem warnte das Bundesamt für Sicherheit in der Informationstechnik vor einer gefährlichen Sicherheitslücke im VLC Mediaplayer: Darüber könne ein Angreifer mit einer manipulierten MKV Video-Datei den Player zum Absturz bringen und eigenen Schadcode auf dem Rechner ausführen. Per Email oder über Webseiten könnten sich dann Trojaner verbreiten, die sich als normales Video tarnen.

In seiner Kurzmeldung schreibt das Bundesamt: VLC Media Player ist ein Programm zur Wiedergabe von Multimedia-Dateien und Netzwerkstreams. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Die Meldung bezieht sich dabei auf diesen Eintrag in der „National Vulnerability Database“. Der Eintrag in der Vulnarability Database bezieht sich auf einen vier Wochen alten „Bug Report“ im VLC „Bug Tracker“: Unter „heap-buffer-overflow on demux_sys_t::FreeUnused“ (Eintrag #22474) wird dort die Sicherheitslücke unter Linux beschrieben, bei der der Player abstürzen könne.

Heute meldete Jean-Baptiste Kempf dort (Kommentar 21), dass es sich bei dem Fehler gar nicht um ein Problem des VLC Player handelte: Schuld sei eine veraltete Version der libebml unter Ubuntu 18.04: Das Problem sei mit aktuellere Versionen wie libebml 1.3.6 behoben. Außerdem habe VLC 3.0. bereits ein Update gegen dieses Problem erhalten:

Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago…

Entgegen unserem früheren Bericht ist der VLC Player also anscheinend sicher: Außerdem steht nicht fest, ob dieses Problem auch, wie vom BSI ursprünglich gemeldet, für die Windows Version gefährlich gewesen sei.

Danke an unseren Facebook-Leser Serjoscha für den Hinweis!