News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[Tuxgamer42]

Was sagt eigentlich der Windows Exploit Guard zu so einem Angriff?

Siehe auch meinen vorherigen Post.

Windows Exploit Guard kann Sicherehitslücken dieser Art nicht verhindern. Denn das sind Programmierfehler in der Software - in auch in der Software selber behoben werden müssen.

Windows Exploit Guard umfasst verschiedene Sicherheitsmechanismen - wie sie vom Prinzip her übirgens auch in jedem modernen Betriebssystem implementiert sind - um das Ausnutzen dieser Sicherheitslücken zu erschweren.

Hat das jemand getestet?

Wie denn ohne Virus?

 

[Hademe]

Kauft euch einmal JRIVER und ihr werdet nie wieder über nen anderen Mediaplayer nachdenken. VLC.....tssss.....kinderspielzeug

 

[scryed]

36MB vs 212MB und bei VLC ist jeder nötige Codec dabei. PowerDVD ist vollgepumpt mit unnötigem Scheiß.

Was soll denn der Müll gepackte Dateien mit gepackte Dateien vergleichen ist doch murx , ist doch egal wenn Power DVD am Ende mehr Speicher Brauch .... Man muss es nicht mögen aber der Vergleich hinkt doch

Power DVD will kein VLC sein ..... Es kommt mit einer grafisch aufwendigen GUI daher die man mögen kann oder nicht und spielt halt alle blurays ab ohne extra Aufwand

Birnen und Äpfel Vergleich

 

[/root]

Windows Exploit Guard kann Sicherehitslücken dieser Art nicht verhindern. Denn das sind Programmierfehler in der Software - in auch in der Software selber behoben werden müssen.

Das stimmt so nicht ganz.
Ich befasse mich selbst seit einigen Jahren mit Vulnerability Research und man kann die Auswirkung von Programmierfehlern (auch RCE) sehr oft im Betriebssystem erfolgreich mitigieren.

Ich hatte vor kurzem einen Buffer Overflow in einen Microsoft Office Produkt der durch ein malformed RTF Datei ausgenutzt werden konnte mit Code Ausführung (ziemlich das gleiche wie jetzt mit VLC). Wurde gemeldet an Microsoft und die haben das behoben indem sie die betroffene DLL Datei mit ASLR Support neu kompiliert haben. Der Overflow war technisch zwar noch da aber Code Ausführung war praktisch unmöglich in diesem Fall wegen ASLR.

Windows Exploit Guard umfasst verschiedene Sicherheitsmechanismen - wie sie vom Prinzip her übirgens auch in jedem modernen Betriebssystem implementiert sind - um das Ausnutzen dieser Sicherheitslücken zu erschweren.

Der Exploit Guard erkennt teilweise auch Code Ausführung von selbst und beendet den gesamten Prozess Tree. Hab das mal bei einem Firefox 0Day gesehen, keine Chance irgendwas damit auszuführen weil der Eploit Guard gleich alles weggekillt hat.

Natürlich ist es wünschenswert dass die Programmierer keine Vulnerabilities einprogrammieren, machen sie aber immer und gerade Windows 10 hat wirklich hervorragende Möglichkeiten um solche Dinge abzufangen (z.b. mit dem Arbitrary Code Guard (ACG) des Exploit Guards)

Wie denn ohne Virus?

Bitte was? Man braucht doch keinen Virus um eine Vulnerability zu testen, nur einen Proof-of-Conecpt
Angeblich gibt es eine mp4 Datei im Bugtracker Portal welche die Vulnerability triggered, das würde schon reichen

 

[m4c1990]

Mit CCCP kann der WMP auch quasi alles abspielen, ist das eine Alternative?^^

 

[Krautmaster]

Eine Policy kann man technisch durchsetzen. Allein das das Vermeiden von Adminrechten verhindert schon eine Menge. Windows kann da aber noch mehr. Und ich bin noch nicht mal Admin.

ich glaube kaum dass eine Policy herausfinden kann ob eine MP4 entsprechenden Schadcode enthält oder nicht. Und selbst beim AV ist fraglich ob er dies feststellt.

Mit ner Policy könnte man ggf temporär das Starten des VLC verhindern.

 

[Jesterfox]

Mit CCCP kann der WMP auch quasi alles abspielen, ist das eine Alternative?^^

CCCP scheint der letzte Release von 2015 zu sein... würd nen aktuelleren Codec verwenden, am besten auf FFMPEG oder LibAV Basis (wobei ich da grad selber am suchen bin, direkt von denen find ich irgendwie keinen Installer mehr für Windows, zumindest nicht für die Codecs)

 

[Tuxgamer42]

Wurde gemeldet an Microsoft und die haben das behoben indem sie die betroffene DLL Datei mit ASLR Support neu kompiliert haben. Der Overflow war technisch zwar noch da aber Code Ausführung war praktisch unmöglich in diesem Fall wegen ASLR.

AAAAAH - das tut weh.

Also nicht nur, dass diese betroffene DLL wohl schon von Anfang an mit ASLR kompiliert hätte werden sollen (einfach weil das eigentlich Standard ist).

Hey, das ist schlicht und einfach kein Fix!!!

Mit der gleichen Argumentation könnte ich auch sagen: Die Sicherheitslücke im VLC existiert ja eigentlich gar nicht. Weil wie ich sehen kann, VLC ist mit ASLR kompiliert - und ich bin deshalb der Meinung, ist praktisch unmöglich da etwas auszunützen.

Was übrigens etwas völlig (!) anderes ist, als dass tatsächlich niemand diese Sicherheitslücke ausnützen kann. Das ist doch gerade der Witz an Sicherheitslücken - dass jemand etwas gefunden hat, an das vorher eben niemand gedacht hat.

Natürlich ist es wünschenswert dass die Programmierer keine Vulnerabilities einprogrammieren, machen sie aber immer

Darum geht es aber gerade nicht. Natürlich werden Programmierer immer Fehler machen (auch wenn sich viele Fehler auch schon im Compiler abfangen lassen würden - siehe z.B. Rust). Aber dafür haben wir doch allerhand Sicherheitsfeatures.

Deshalb ist es aber trotzdem idiotisch sich komplett auf die Sicherheitsfeatures zu verlassen nach dem Motto: Wir sind gerade zu faul eine Sicherheitslücke zu fixen weil wir haben ja ASLR.

Bitte was? Man braucht doch keinen Virus um eine Vulnerability zu testen, nur einen Proof-of-Conecpt

Der Proof-of-Concept wird offensichtlich von den entsprechenden Heap-Schutzmechanismen im VLC selber erkannt.
Was eine wahnsinnig langweilige Erkentniss ist - da der angehängte Proof-of-Concept nicht einmal versucht diese Schutzmechanismen zu umgehen.

Was wohl ein ziemlich großer Unterschied zu einem richtigen Virus ist, findest nicht?

 

[bumbl73]

um es mal für doofe wie mich auf den punkt zu bringen - wie groß ist die gefahr für mich als gewöhnlichen nutzer jetzt wirklich? soweit ich verstehe, müsste ich ja schon eine infizierte video-datei herunterladen und die selbst öffnen um "infiziert" zu werden? sprich wenn ich nur meine gewohnten videos aus bekannten quellen (damit meine ich nicht torrent mkvs) anschaue sollte ich auf der sicheren seite sein..

 

[WinnieW2]

Die Version 3.0.8 ist bereits als Nightly (auf dem Videolan-FTP-Server) verfügbar... Nightly bedeutet allerdings dass die Software noch keinen offiziellen Release-Status hat.

 

[Raucherdackel!]

Genau, es ist MPC-HC mit madVR und NGU Skaleriung.

Bin absolut deiner Meinung. Besser geht es nicht.

 

[MaverickM]

Den die Admins da draußen jetzt aber alle erstmal Umsetzen müss(t)en. Sprich sie müssen von dieser Sicherheitslücke erfahren um explizit das ausführen von VLC zu verhindern

Das ist die Aufgabe des Admins, sich auf dem neuesten Stand zu halten. Insbesondere was Sicherheitslücken und einzuspielende Patches angeht...

 

[Crowbar]

z.B. wegen Sicherheitslücken und besseren alternativen?!
Lass mich raten -> Never change a running System? (mit Absicht durchgestrichen!)
Bist also auch noch per Pferd unterwegs, denn es funktioniert ja, warum sollte man ein Auto kaufen?

Welche Software, frei von Sicherheitslücken, kennst du?
Um die kindische Auto-Analogie aufzugreifen: Warum sollte ich auf einen weißen Golf wechseln, wenn ich einen roten Golf fahre?

 

[Marflowah]

ich glaube kaum dass eine Policy herausfinden kann ob eine MP4 entsprechenden Schadcode enthält oder nicht. Und selbst beim AV ist fraglich ob er dies feststellt.

Mit ner Policy könnte man ggf temporär das Starten des VLC verhindern.

Letzteres meinte ich. Bzw kommt es darauf an, um was für ein Betrieb es sich handelt. Bei mir damals in der Firma durften (und konnten durch Gruppenrichtlinien) die MA nichts nutzen, was durch unsere IT nicht installiert bzw erlaubt war. Office und spezielle Programme für die jeweiligen Abteilungen (Rechnungswesen usw.) Die Leute sollten schließlich arbeiten und sich nicht MP3 anhören oder gar in MKV gepackte Filme gucken.

 

[/root]

AAAAAH - das tut weh.

Da stimme ich dir natürlich zu
aber so läuft das (leider) in der Realität - nicht nur bei Microsoft

Deshalb ist es aber trotzdem idiotisch sich komplett auf die Sicherheitsfeatures zu verlassen nach dem Motto: Wir sind gerade zu faul eine Sicherheitslücke zu fixen weil wir haben ja ASLR.

Das hat ja eigentlich auch keiner behauptet, schon gar nicht ich.

Ob ein bestehendes Sicherheitsfeature die Ausnutzung einer Vulnerability aber verhindert oder nicht ist ein sehr wichtiges Detail für Admins und Security Analysten. In einem Enterprise Netzwerk mit 50.000 Clients ist das nämlich auch eine Frage des Geldes und des Aufwandes ob man einen sauberen Fix ausrollt oder ob ein bestehender Sicherheitsmechanismus die Ausführung "dirty" verhindert

Der Proof-of-Concept wird offensichtlich von den entsprechenden Heap-Schutzmechanismen im VLC selber erkannt.
Was eine wahnsinnig langweilige Erkentniss ist - da der angehängte Proof-of-Concept nicht einmal versucht diese Schutzmechanismen zu umgehen.

Was wohl ein ziemlich großer Unterschied zu einem richtigen Virus ist, findest nicht?

Es ist ein Unterschied Ja, aber zusätzlich zum triggern einer wirkungsvollen RCE auch noch ein Sicherheitsfeature zu umgehen erhöht die Hürde schon nochmal beachtlich. Kenne den Heap Schutz von VLC nicht, wenn der das erkennt, verhindert er die Ausführung von Shellcode?

 

[Neronomicon]

Doch ein anderer Entwickler namens clsid2 hat schon vor geraumer Zeit das Projekt "inoffiziell" übernommen weil der Original Entwickler nichts mehr macht.

Danke für den Link. Geil das sich doch jemand darum kümmert. Nutze den schon seit Ewigkeiten und für mich der beste Player. Die Oberfläche ist auch gut und bedarf keiner anderen Spielerei am PC. Genau richtig so. Ich will den nur benutzen.

Die harsche Kritik an der Meldung finde ich übertrieben. Ich kann schon verstehen das einige ganz genau wissen wollen was los ist und ob man den überhaupt noch nutzen kann.
Aber dann doch bitte mit einer normalen Nachfrage und kein teilweise schon aggressives Gebaren.

 

[owned139]

Was soll denn der Müll gepackte Dateien mit gepackte Dateien vergleichen ist doch murx , ist doch egal wenn Power DVD am Ende mehr Speicher Brauch .... Man muss es nicht mögen aber der Vergleich hinkt doch

Es ist nicht egal, weil es unnötig speicher verbraucht und das Programm/den Start verlangsamt. Wozu 400MB? Um Videos abzuspielen?! Das glaubste doch selbst nicht.

Power DVD will kein VLC sein ..... Es kommt mit einer grafisch aufwendigen GUI daher die man mögen kann oder nicht und spielt halt alle blurays ab ohne extra Aufwand

Spielt VLC auch ab, allerdings muss man dafür ein wenig einstellen. Liegt aber nicht an VLC, sondern daran, dass er kostenlos ist.

Birnen und Äpfel Vergleich

Bullshit. Nur weil es dir nicht schmeckt? Ich benutze lieber einen Videoplayer der schnell und schlank ist und auch nur genau das tut, wozu er da ist.

 

[jemandanders]

Hallo.
Auf der Thread Eingangsseite wurde öfter der Podplayer als Ersatz genannt.
Jetzt habe ich mir den mal von >http://potplayer.daum.net< herunter geladen.
Virustotal spuckt mir allerdings aus, das er potenziell einen Trojaner / Adware installiert.
Hat jemand Erfahrungen dazu? Kann ich die weg klicken?
Oder sonst welche Empfehlungen?
Sollte möglichst einen Klon Modus haben.
Darf dann auch was kosten, wenn die Leistung Ok ist.

 

[Tuxgamer42]

Kenne den Heap Schutz von VLC nicht, wenn der das erkennt, verhindert er die Ausführung von Shellcode?

Ich muss genauer lesen! Die Ausgabe im Bugreport kommt vom AddressSanitizer - der ist natürlich in Release-Builds nicht eingebaut...

Also ja, man könnte mal mit VLC die Datei öffnen (mit dem Ergebniss: VLC crasht nicht) - aber selbst wenn VLC crashen würde, wüsste ich nicht inwiefern das mir groß etwas sagen würde.

In einem Enterprise Netzwerk mit 50.000 Clients ist das nämlich auch eine Frage des Geldes und des Aufwandes ob man einen sauberen Fix ausrollt oder ob ein bestehender Sicherheitsmechanismus die Ausführung "dirty" verhindert

Was in diesen Beispiel natürlich trotzdem blöd ist - da trotzdem eine neue DLL ausgerollt werden musste. Bei dieser Gelegenheit (oder grundsätzlich spätestens bem nächsten Update!) hätte man die Lücke wohl problemlos mitfixen können.

 

[sleven]

Hallo.
Auf der Thread Eingangsseite wurde öfter der Podplayer als Ersatz genannt.
Jetzt habe ich mir den mal von >http://potplayer.daum.net< herunter geladen.
Virustotal spuckt mir allerdings aus, das er potenziell einen Trojaner / Adware installiert.
Hat jemand Erfahrungen dazu? Kann ich die weg klicken?
Oder sonst welche Empfehlungen?
Sollte möglichst einen Klon Modus haben.
Darf dann auch was kosten, wenn die Leistung Ok ist.

Hierbei handelst es sich um eine versteckte Installation von AVAST Free (Virenscanner), welchen du während der Installation des Mediaplayer wegklicken kannst. Ich selber halte von sowas überhaupt nix...aber naja.