News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[Blueeye_x]

Ja, das Image von VLC kann durch diese Schlagzeile leiden.

Aber wahrscheinlich nur bei denen die sich ständig mit PC Software auseinandersetzen oder sich in Computerforen aufhalten.

Das Problem ist doch, dass die Mehrheit garnicht erst erfährt dass VLC unsicher geworden ist, weil sie solche Hinweise garnicht erst lesen.

 

[mylight]

ich will gar nicht wissen, welche sicherheitslücken die alternativen von vlc haben, hat CERT die alternativen auch so genau unter die lupe genommen? bei vlc weiss man jedenfalls, dass da nen team dran sitzt das die sicherheitslücke stopft...
wie sicher ist eigentlich der windows image viewer, lol, vllt sollte man vor dem jetzt auch warnen, weil man durch hexwert manipulierte img files den rechner übernehmen kann.......
ps. niemals bilder aus dem web abspeichern, immer selbst "screenen", lol

 

[BFF]

Den die Admins da draußen jetzt aber alle erstmal Umsetzen müss(t)en. Sprich sie müssen von dieser Sicherheitslücke erfahren um explizit das ausführen von VLC zu verhindern denn die Installation von unbekannten Programmen ist ja standardmäßig auf jedem Firmen Rechner verboten. Daher wir ja insbesondere auf Firmenrechnern mit ihren alten Windows Versionen die keine aktuellen MKV Dateien abspielen können da sie weder .mkv kennen noch die Codecs dafür besitzen die Portable VLC Version Version genutzt die nicht installiert werden muss um trotzdem aktuelle Videos schauen zu können.

Das Problem waere das, wie richtig von Dir bemerkt, alle reagieren. Ob alle das schnell koennen sei dahingestellt.

Bei uns waere das Sperren/Deinstallieren des VLC, wenn er denn existent waere, ein Rechtsmausklick auf einen Eintrag und dann die Aenderung aktivieren. Innerhalb von einer Stunde ist das durch. Geraete die gerade aus sind "erfahren" die Aenderung nach Start des OS.
Portable Software geht auch nicht. Es gibt keine Downloads dieser Art fuer Nutzer, USB-Sticks nutzen denen garnix, per Mail koennen sie auch abknipsen und die Blacklist ist nicht gerade klein. Ja ok. Das wird nicht jeder so kompfortabel haben.

Anyway.

Ich vermisse immer noch einen Link oder Nachweis dass das BSI oder CERT dazu raten einen anderen Mediaplayer zu benutzen. Beide schreiben dazu nix.

-> https://www.cert-bund.de/advisoryshort/CB-K19-0634
-> https://www.bsi-fuer-buerger.de/SharedDocs/Warnmeldungen/DE/TW/2019/07/warnmeldung_tw-t19-0097.html
-> https://www.bsi.bund.de/SharedDocs/...nid=416ED8FD0D5D1B5D774E21AF1C58928B.2_cid351

Nicht das dieser Satz des BSI komplett durch jemanden fehlgelesen wurde und einige nur abgeschrieben haben:

Die z.B. haben abgeschrieben:
https://www.gamestar.de/artikel/cert-und-bsi-warnen-vor-vlc-media-player-3071,3346849.html

Die nicht.

-> https://www.borncity.com/blog/2019/07/20/bsi-warnt-vor-schwachstelle-im-vlc-player-bis-v3-0-7-1/
-> https://www.heise.de/security/meldu...ler-Version-von-VLC-Media-Player-4475712.html
-> https://www.maclife.de/news/aktueller-vlc-player-3071-ermoeglicht-remote-angriffe-100114319.html
-> https://winfuture.de/news,110171.html

Oder jemand hat das hier gelesen und die Worte dem BSI untergejubelt.

Zu finden hier:
https://www.derstandard.at/story/20...herheitsluecke-bei-aktuellem-vlc-media-player

Schoene Woche!

BFF

 

[andr_gin]

Leider fehlt die Begründung, warum man nicht von dort laden sollte. Ohne Begründung wirkt die Aufforderung....seltsam. Um nicht zu sagen "wenig vertrauenswürdig".

Weil die offizielle Seite videolan.org ist und vlc.de nur eine Fälschung. Im Besten Falls fängst du dir da nur etwas Adware ein, im schlimmsten Fall einen Kryptotrojaner.

 

[Piecemaker]

Hoffentlich gibt es bald einen Bugfix. Bis dahin werde ich einfach nur alte Dateien mit VLC abspielen.

VM? /Problem solved /case closed

 

[Gamefaq]

Portable Software geht auch nicht. Es gibt keine Downloads dieser Art fuer Nutzer, USB-Sticks nutzen denen garnix

Öhm doch, eben weil du die portable VLC Version direkt vom am PC angeschlossenen USB Stick starten kannst. Das ist ja Grade der Vorteil der portablen Version. Sie benötigt keine Installation oder externe Dateien für den Start des players. Auf dem gleich Stick oder einem weiteren
Stick bzw. weiteren angeschlossenen externen Festplatte kann die abzuspielende Video Datei sein.

 

[SingleTarget]

Benutze schon seit langem kein VLC Player mehr! Ich habe endlich meiner Meinung nach den besten Player für jegliche Formate gefunden.
Spielt auch 3D ab, was damals nur noch meine Arcsoft Theatre Player Software konnte, aber leider wurde die Software vor Jahren schon eingestellt und man musste da meist auch immer die neueste Version kaufen, wie PowerDVD.
DVDFab 5 Player Ultimate. Sicher die Lebenslange Update Version kostet ~150€ mit Rabattaktion meist um die 110€. Aber das ist für die Lebenslange Update Version! Sprich, kommen neue Formate raus, wird dieser Player sie abspielen können. Bei PowerDVD musste man jedes Jahr neu kaufen und wird im Endeffekt wesentlich teurer.
Das Bild ist ein Traum, da wirkt das Bild andere Player Software alles andere als schön.

 

[Phear]

Das ist ja Grade der Vorteil der portablen Version. Sie benötigt keine Installation oder externe Dateien für den Start des players. Auf dem gleich Stick oder einem weiteren

Ich vermute mal, dass er darauf hinaus wollte, dass niemand USB-Sticks nutzen kann bei ihm

 

[DaZpoon]

Muss man halt auf Updates warten und dann updaten. Sowas steckt in jeder Software, sicherlich auch in der ein oder anderen Alternative. Die Angreifbarkeit steigt sicherlich mit der Anzahl der unterstützten Formate.

Das ist aber generell ein tückisches Problem. Bei uns auf Arbeit konzentriert sich die Vorsicht in erster Linie auf EXE, ZIP, PDF und Office-Dokumente. Bei einer Mediendatei erwartet der normale Anwender erstmal keine Gefahr, das Zeug enthält ja in der Regel keine Makros etc. Und Angriffe per versuchten Mailanhängen in Verbindung mit täuschend echten Mails (APT) nehmen bei uns massiv zu. Da reicht von 200.000 Mitarbeitern ein schwaches Glied ...

 

[/root]

Was sagt eigentlich der Windows Exploit Guard zu so einem Angriff? Müsste der das nicht unterbinden? Hat das jemand getestet?

 

[DerOlf]

Hat das jemand getestet?

Wer hat denn so viel Vertrauen zu dem Ding?
Ich würde es jedenfalls nur dann testen, wenn ich das System ohnehin neu aufsetzen will.

 

[DJMadMax]

Auch, wenn ich den VLC nie leiden konnte, so gibt es für den Endanwender letzlich doch nichts besseres und "sichereres", als Open Source Software.

Die nun gefundene Lücke kann theoretisch von jedem geschlossen werden und wenn dafür zur Not die Web Remote-Funktion komplett rausgeworfen wird.

Dennoch gefällt mir der Player als solcher einfach nicht. Media Player Classic, schon seit vielen vielen Jahren bei mir im Einsatz. Für Musik gibts ausschließlich Winamp 2.9x.

 

[/root]

Wer hat denn so viel Vertrauen zu dem Ding?
Ich würde es jedenfalls nur dann testen, wenn ich das System ohnehin neu aufsetzen will.

VMWare -> Rechte Maustaste -> Snapshot zurücksetzen

 

[Marflowah]

[...]

Ich denke am Mo werde ich Arbeit erstmal schauen dass das Murks von 2000 Rechnern fliegt. Einfach weil es genug Ma gibt die auch mal gern gegen jede Policy ihre privaten Dinge drauf abspielen.

Eine Policy kann man technisch durchsetzen. Allein das das Vermeiden von Adminrechten verhindert schon eine Menge. Windows kann da aber noch mehr. Und ich bin noch nicht mal Admin.

Na dann mal her mit den Beweisen das der Potplayer Voll mit Adware ist.

Fakt ist, dass bei der installation die Software: "McAfee-WebAdvisor" zur installation angeboten wird, die man aber abwählen kann. [...]

Was meinst du was Adware ist? 🤦‍♂️

 

[Miuwa]

Man sollte meinen Heise kennt sich mit IT aus...

Das ist alles andere als eine reine Vermutung. Hier ist der Vulnerability Report, welcher durch das VLC Team bestätigt wurde: https://hackerone.com/reports/484398
VLC hat es übrigens als "Medium severity impact" eingestuft.

Bezweifle ich: Der bug hatweine andere CVE Nummer.

Ich finds faszinierend wie häufig dem OP in diesem Thread schlechte Recherche bzw. Panikmache vorgeworfen wird uns das mit links zu völlig anderen Bugs begründet wird (so auch in einem vorherigen Post in dem behauptet wird, die Lücke sei in 3.0.7 gefixt worden, obwohl die CERT Warnung explizit für 3.0.7.1 gilt).

 

[owned139]

PowerDVD hat dann aber auch keine 400MB:

Anhang anzeigen 802560

36MB vs 212MB und bei VLC ist jeder nötige Codec dabei. PowerDVD ist vollgepumpt mit unnötigem Scheiß.

 

[MR2007]

Bezweifle ich: Der bug hatweine andere CVE Nummer.

Ich finds faszinierend wie häufig dem OP in diesem Thread schlechte Recherche bzw. Panikmache vorgeworfen wird uns das mit links zu völlig anderen Bugs begründet wird (so auch in einem vorherigen Post in dem behauptet wird, die Lücke sei in 3.0.7 gefixt worden, obwohl die CERT Warnung explizit für 3.0.7.1 gilt).

Das war erstens, das erste Google Ergebnis, zweitens habe ich Heise kritisiert und nicht CB und drittens, weil ich von einer Redaktion die eine eigene Security Abteilung hat (Heise Security), erwarte, dass sie das entsprechend richtig recherchieren und nicht das erste Google Ergebnis nehmen wie ich Und fünftens bist du etwas spät, das haben schon 3 vor dir korrigiert

 

[Miuwa]

Aber wie bereits geschrieben halte ich persönlich diese Warnung für Quatsch, da sie nicht wissen, ob es das Problem in 3.0.7.1 noch gibt (steht auch so im Text) aber davor warnen. Es gibt sogar im Bugreport an VLC die Angabe, dass es mit 3.0.7 gefixt werden sollte (sofern das genau der gleiche Bug ist). Eine Warnung vor 3.0.7.1 ist für mich also nicht nachvollziehbar.

Wo hast du das denn gelesen? Bisher hab ich nur gelesen, dass nicht bekannt ist, ob sie schon ausgenutzt wird.

 

[Snakeeater]

VLC ist schon seit Jahren unbrauchbar. Allein die Performance.

nutze seit wenigen Jahren MPV und bin restlos begeistert, gibt es auch für Windows.

Simpel, minimal und sehr performant

 

[Gamefaq]

Ich vermute mal, dass er darauf hinaus wollte, dass niemand USB-Sticks nutzen kann bei ihm

Nur bei ihm ist nicht die Masse da draußen.