News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[jemandanders]

Hierbei handelst es sich um eine versteckte Installation von AVAST Free (Virenscanner), welchen du während der Installation des Mediaplayer wegklicken kannst. Ich selber halte von sowas überhaupt nix...aber naja.

Danke, dann könnte ich den ja vielleicht mal ausprobieren.
Habe mir gerade erst noch den SMPlayer geladen.
Macht einen guten Eindruck in den ersten Minuten.
Ob der auch Klonen kann muss ich noch in den Optionen ausprobieren. Kann auf jeden Fall die Ausgabe an einen anderen Bildschirm umlenken. Ist ja schon mal was.

 

[Retro-3dfx-User]

Bei mir läuft für Filme überall der MPC mit dem K-lite-Mega-Codec-Pack https://www.codecguide.com/download_k-lite_codec_pack_mega.htm

Für Musik nutze ich schon immer den MS WMP...

 

[T_55]

Wer hat denn das behauptet?

https://de.wikipedia.org/wiki/Pufferüberlauf#Heap-Überlauf

Durch Heap-Überläufe kann durch Überschreiben von Zeigern auf Funktionen beliebiger Code auf dem Rechner ausgeführt werden, insbesondere wenn der Heap ausführbar ist. FreeBSD hat beispielsweise einen Heap-Schutz, hier ist das nicht möglich.

 

[Gullwoop]

Auch wenn das vielleicht nun untergeht in diesem Thread so will ich das ja nicht unbeantwortet lassen.

@hnSzXIDIiA
@Gamefaq
Danke euch für die Erklärung und Hinweise. Ich hatte das halt nicht gleich verstanden was ein Fork ist und das davor hatte ich auch nicht gelesen da es nun schon soviele Seiten hier sind. Ich werde die Weiterentwicklung vom MPC in jedem Fall mal ausprobieren.

Mit dem VLC bin ich zufrieden und sehe, wie gesagt, aus diesem Grund (also wegen dieser Lücke) keinwn Grund zum Wecgsel. Seit der Version 3.0 vom VLC habe ich leider Probleme mit den Filtern vom VLC (VLC hängt sich da komplett auf bei mir). Die letzte Version wo die Filter stabil laufen war die VLC-Version 2.8. Als es dann auf die 3.0 ging lief das nicht mehr rund.

Mal sehen ob der MPC inzwischen mit einer erhöhten Abspielgeschwindigkeit besser zurecht kommt (ohne alles in eine Mickey-Mouse Stimme zu verzerren). Selbst YouTube hat das ja nun schon eine Weile drinne im Player, die Abspielgeschwindigkeit zu erhöhen. Für Musikvideos ist das einfach sehr gutm bei VLC stelle ich oft auf 1.04-1.12 und beim YouTube-Player auf 1.25 ... das kommt in etwa auf fast denselben Effekt. In beiden Fällen bleibt die Audio-Spur aber klar.

 

[s3bish]

Die fixen das schon zeitnah.

 

[Klassikfan]

Ich bin ja immer für neue Anregungen zu haben. So wollte ich jetzt mal den MPV testen. Allein ich kriege ihn nicht zum Laufen. Hab den Download von chip.de benutzt. Aber ich bekomme nach erfolgter Installation nur Fehlermldungen - und jetzt noch nicht einmal mehr die. Eine verlangte sogar von mir, ich solle die UAC deaktivieren. Hallooo?? Wassendasfürn Programm?

 

[Hayda Ministral]

@RYZ3N: Kommt da jetzt noch ein Link zur angeblichen oder tatsächlichen Empfehlung von BSI/Cert, sich nach einem alternative Player umzusehen? Das konsequente nicht beantworten dieser mehrfach gestellten Frage fängt an ein Geschmäckle zu entwickeln...

 

[Ecoli86]

Der Redakteur hat doch schon zwischendurch geantwortet

[...] dass man in einem offiziellen Artikel [sowohl hier als auch Heise] nur über Fakten sprechen/schreiben kann.

Ich habe mich an die Fakten gehalten, an das was BSI, CERT & Co. an Fakten liefern.

Die News besagt einzig dass das BSI und das CERT empfehlen VLC zu meiden und durch einen anderen Media Player zu ersetzen und das ist ein Fakt.

BSI und CERT geben exakt diese Empfehlung, nicht ich, nicht ComputerBase.

Für jeden der sich tiefergehend informieren will habe ich sowohl die BSI als auch CERT und zudem die NVD Quelle angegeben.

An Mutmaßungen beteilige ich mich dennoch nicht, tut mir leid.

Ich nenne nur Fakten und Fakt ist, BSI und CERT empfehlen sich einen alternativen Media Player zu besorgen. Ob ich diese Ansicht teile? Völlig irrelevant.

 

[Zero_Point]

Der Redakteur hat doch schon zwischendurch geantwortet

Und was davon beantwortet die Frage? Ich sehe keinen Link!

 

[MotherPink]

Ich bin ja immer für neue Anregungen zu haben. So wollte ich jetzt mal den MPV testen. Allein ich kriege ihn nicht zum Laufen.

Keine Ahnung, was Chip dir da andrehen will.

https://mpv.io/installation/

 

[SVΞN]

Und was davon beantwortet die Frage? Ich sehe keinen Link!

@@RYZ3N: Kommt da jetzt noch ein Link zur angeblichen oder tatsächlichen Empfehlung von BSI/Cert, sich nach einem alternative Player umzusehen? Das konsequente nicht beantworten dieser mehrfach gestellten Frage fängt an ein Geschmäckle zu entwickeln..

Weder ich (oder gar ComputerBase) programmieren Media Player oder besitzen irgendwelche Aktien an Konkurrenzprodukten des VLC Media Players. Es ist also völlig absurd und abwegig hier ein „Geschmäckle“ oder sonstiges zu sehen, wo keins ist.

Ich habe nicht im geringsten vor den VLC Media Player oder die gemeinnützige Organisation dahinter in Misskredit zu bringen, warum auch?

Bevor ich meine News geschrieben habe, habe ich alle Quellen (BSI, BSI-Bund, CERT, CERT-Bund, sowie deren Foren) studiert, mich mit denen Mods und Editoren ausgetauscht und die Aussage ist klar:

• Version 3.0.7.1 ist betroffen
• Ältere Versionen können betroffen sein
• Ein Bugfix ist noch nicht da
• Die Arbeiten daran stehen bei ~ 60%
• Solange das so ist heißt die Empfehlung ausweichen

Ich sage das jetzt noch einmal explizit dazu, niemand (nicht das BSI, nicht ComputerBase und schon gar nicht ich) sagt dass man dem VLC Media Player nun den Rücken kehren soll, es wird allerdings empfohlen ihn zu meiden bis die Sicherheitslücke geschlossen ist.

Zudem bin ich nicht dazu verpflichtet auf Zuruf (oder Verlangen) Quellen zu nennen.

Es gibt zudem anderen Seiten die sich nicht auf meinen Beitrag als Quellen beziehen und exakt die gleiche Aussage getroffen haben, ebenfalls ohne einen Link zu posten.

Jeder der meint sowas verlangen zu können, sollte begreifen dass wir auch mal direkt mit dem entsprechenden Leuten Rücksprache halten und dann hier keine Namen nennen.

Bitte kommt mal ein wenig runter und begreift dass nicht hinter allem immer eine „Verschwörung“ stecken muss. Danke!

 

[haha]

VLC nur noch für Audio.

Echt? Kann ich überhaupt nicht nachvollziehen!

 

[Jesterfox]

Ich auch nicht... VLC wäre so das letzte was ich für Audio verwenden würde, gibt so viel besseres. Für Videos ist er aber ganz ok, vor allem weil er die Codecs mitbringt. Aber im Normalfall installier ich mir lieber die Codecs und nehm dann den Windows Media Player ;-)

 

[haha]

Ich bin ja immer für neue Anregungen zu haben. So wollte ich jetzt mal den MPV testen. Allein ich kriege ihn nicht zum Laufen. Hab den Download von chip.de benutzt. Aber ich bekomme nach erfolgter Installation nur Fehlermldungen - und jetzt noch nicht einmal mehr die. Eine verlangte sogar von mir, ich solle die UAC deaktivieren. Hallooo?? Wassendasfürn Programm?

Ich würde nichts von Chip.de runterladen! Die fügen dem Installer gerne mal was anderes bei.

 

[Ecoli86]

Wenn diese anderen Player solche extra Tools mitgeliefert bekommen, wäre es nicht besser bei VLC zu bleiben, dass gerade eine Überprüfung (Audit) durchläuft und die Fehlerkorrektur, wie zB heise und zdnet berichten? Kann denn irgendeine Alternative einen Audit und updates kürzlich vorweisen? Die Empfehlung zur Alternative zu greifen kam ja zB von Computerbase.

 

[catch 22]

Den die Admins da draußen jetzt aber alle erstmal Umsetzen müss(t)en. Sprich sie müssen von dieser Sicherheitslücke erfahren um explizit das ausführen von VLC zu verhindern ...

Einem Administrator, besser gesagt einem IT-Team, welches sich nicht über diverse Webseiten wie BSI, Heise, selbst sogar Seiten wie THG und CB, Hersteller Seiten (zumindest für OS, SAP, sonstige Hauptanwendungen auf den Rechnern), ... über die Software und auch Hardware auf dem laufenden hält, darf man ohne weiteres jegliche Kompetenz absprechen. In der IT läuft "die Schulung" jeden Tag und entweder nimmt man daran Teil, oder sollte den Bereich wechseln.

Öhm doch, eben weil du die portable VLC Version direkt vom am PC angeschlossenen USB Stick starten kannst. Das ist ja Grade der Vorteil der portablen Version. Sie benötigt keine Installation oder externe Dateien für den Start des players. Auf dem gleich Stick oder einem weiteren
Stick bzw. weiteren angeschlossenen externen Festplatte kann die abzuspielende Video Datei sein.

Selbst unter Windows ist es schon sehr lange mit Bordmitteln möglich, ausführbare Dateien von USB Sticks / externen Laufwerken zu Blocken. Windows kann, unter erfahrener Hand, zu einem sicheren OS gewandelt werden, annähernd vergleichbar einem Linux / Unix System.
Allerdings muss man bei Windows sehr viel mehr Schalter erst mal auf "Nein" setzen, weswegen ein frisches Windows, wie man es auch auf praktisch allen Privatrechnern vorfindet und leider auch bei viel zu vielen kleinen und sogar Mittelständischen Betrieben (falscher Geiz bei den IT Kosten), eine einzige Sicherheitslücke ist.

 

[Klassikfan]

Ich würde nichts von Chip.de runterladen! Die fügen dem Installer gerne mal was anderes bei.

Den Installer umgehe ich als geübter Downloader natürlich.

 

[SVΞN]

Ich würde nichts von Chip.de runterladen! Die fügen dem Installer gerne mal was anderes bei.

Den Installer kann man aber (mit einem Klick auf Manuelle Installation) auch ohne weiteres umgehen.

Den Installer würde ich auch nicht nutzen wollen, denn anschließend hat man gerne mal einen Toolbar oder diverse Software „gratis“.

 

[BFF]

Nur bei ihm ist nicht die Masse da draußen.

Exakt. Es ist nicht die Masse draussen.
Nur sollte jede "Firma" die sich einen "Administrator" haelt bzw. jeder Administrator (der sich so nennt) ansatzweise "cool" reagieren koennen wenn sowas auf(hoch)ploppt wie das mit dem VLC.

Anyway. Es ist etwas viel heisser Wind um fast nix. 😎

Schoene Woche!
BFF

 

[SVΞN]

Anyway. Es ist etwas viel heisser Wind um fast nix. 😎

Völlig richtig.

Wer a) weiß was er tut und b) keine fremden Files unbekannter Herkunft öffnet, hat nichts zu befürchten.

Für alle anderen Anwender gilt, nutzt den VLC Media Player nicht bis ein entsprechendes Update verfügbar ist oder nutzt in der Zwischenzeit eine der vielen [hier im Thread vielfach genannten] Alternativen.

Wenn die Lücke geschlossen ist, ist auch die Nutzung des VLC Media Players kein Problem.

Fakt ist, wer sich nicht wirklich auskennt und gerne mal Mediendateien von Freunden und Bekannten oder aus unbekannten Quellen aus dem Netz nutzt, macht bis zum Update eigen Bogen um VLC.

Eine große Sache ist das nicht und sowas hat’s auch schon bei anderen Programmen gegeben. Wenngleich VLC in den letzten 12-18 Monaten auch mehrfach mit Sicherheitslücken aufgefallen ist.

Wenn die aktuelle geschlossen wird, ist soweit alle im Lot. Man muss die Sache nicht größer machen als sie ist.