News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[Zero_Point]

Zudem bin ich nicht dazu verpflichtet auf Zuruf (oder Verlangen) Quellen zu nennen.

Ja, wenn man nichts zu bieten hat, ist ausweichen immer die beste Taktik.

Ich würde nichts von Chip.de runterladen! Die fügen dem Installer gerne mal was anderes bei.

Bei mir war noch nie "was anderes" dabei...

 

[SVΞN]

Ja, wenn man nichts zu bieten hat, ist ausweichen immer die beste Taktik.

Ich gehe hiermit letztmalig auf deinen Blödsinn ein und sag’s dir noch einmal. Weshalb glaubst du dass mein Artikel seit der Veröffentlichung hiert unverändert so steht?

Weshalb gibt’s mittlerweile zig Seiten die a) ähnlich Headlines und News verfasst haben und b) die Quintessenz nicht ein einziges Mal widerrufen wurde?

Ich kann’s dir sagen. Weil die News ganz einfach ordentlich recherchiert wurde und ich bevor ich meine News veröffentlicht habe mit den entsprechenden Leuten Rücksprache gehalten habe. Deshalb steht die News hier seid Tag eins unverändert.

Weshalb du durch dein dauerndes Gehate und Gemaule hier eine Dramatik reinbringen willst die gar nicht geben ist? Keine Ahnung!

Vor meinem letzten Post hat @Hayda Ministral kritisch nachgefragt und @Ecoli86 hat geantwortet. Ich habe (da ich angesprochen wurde) umgehend darauf geantwortet und auch exakt dargelegt woher ich meine Informationen habe. Damit ist die Sache geklärt.

Ich schreibe die News und muss den Inhalt verantworten, was ich ohne Probleme kann da ich die entsprechenden Hintergrundinformationen habe.

Merkwürdig dass dir das noch immer nicht reicht und du in deinem letzten Post erneut sticheln musst. Was ist los? Haben wir zwei (oder du mit mir) irgendein Thema?

Du siehst doch dass meine News (ungeachtet deiner haltlosen Vorwürfe) nach wie vor unverändert Bestand hat.

Ich weise deine merkwürdige (und zudem anmaßende) Vordergrund nach einem Link letztmalig von mir, denn wenn ich über eine Empfehlung des BSI berichte und mich trotz der Quellen noch einmal beim Editor der ursprünglichen BSI/CERT News zurück versichere, muss ich dir nicht sagen wer meine Quelle gewesen ist.

Zumal du einer der wenigen hier bist der das Thema künstlich aufbauscht.

Niemand hat gesagt dass der VLC Media Player nun zur Persona non grata erklärt wird, sondern die Empfehlung richtet sich ausschließlich an Otto-Normalverbraucher und diese sollten den VLC Media Player meiden bis es zeitnah ein Update gibt.

Hier alles in Abrede zu stellen oder eine News als unseriös hinzustellen nur weil du keinen direkten Zugang zu Informationen oder eine Quelle hast, ist einfach schlechter Stil.

 

[Gamefaq]

Selbst unter Windows ist es schon sehr lange mit Bordmitteln möglich, ausführbare Dateien von USB Sticks / externen Laufwerken zu Blocken.

Stimmt, nur läuft auf den meisten Firmen Rechnern noch Windows XP oder Windows 7 ( was dann schon als modern zu bezeichnen wäre...). Beide können jedoch ab Werk nicht mit mkv umgehen oder bringen die aktuell gängigen Codecs mit. Daher wird dort die eigene Installationen verboten sind immer die Portable Version genutzt.

Davon ab hab ich den VLC schon bei vielen Firmen/Einrichtungen schon in einer alten vorinstallierten Version gesehen...

Und genau hier liegt das Problem an dieser Sicherheitslücke. Für den Otto normal User ist das Risiko nicht abzuschätzen.

"Weil hey wir reden über eine Video Datei. Eine VIDEO Datei! Was soll denn schon passieren?! Hab ich tausend Mal benutzt. Das ist sicher!"

So oder ähnlich wird das Denken / die Argumentation sein. Denn der Player wurde über Jahre überall empfohlen und man hat(te) doch ständig mit diesen Dateiarten zu tun. Was soll da schon passieren?

Genau das macht diese Sicherheitslücke so gefährlich weshalb sie eine so hohe Risiko Einstufung hat.
Denn hier muss der DAU nicht etwas total untypisches oder das ihn überfordert am PC tun damit er infiziert werden könnte. Nur eine 0815 Video Datei abspielen...

 

[gesperrter_User]

Die mp4-Datei muss also infiziert sein.Es muss mir also ein mir Unbekannter eine mp4-Datei mailen und ich muss

• das Mail öffnen
• seinen Inhalt lesen
• vertrauensselig die angehängte mp4-Datei downloaden
• vertrauensselig die angehängte mp4-Datei öffnen

Trifft also die, die es nicht anders verdient haben. Wie beim nigerianischen Prinzen, der mir sicher $100.000 überweist, wenn ich ihm vorher $10.000 überweise. Und hier ist, wie immer, viel Drama um nichts.

 

[Jesterfox]

Die Datei muss nicht per Mail kommen... denn eines der genialsten Features des VLC ist meiner Meinung nach sein "Open URL", also das abspielen von Videos direkt übers Internet mit gewohnter Bedienung (statt dem Browser und was man da als GUI angeboten bekommt). Und dann reicht es schon wenn eine Webseite der man bisher vertraut hat gehackt wird und jemand die Videos modifiziert...

 

[erazzed]

Ich habe nicht alle 14 Seiten gelesen, allerdings will ich hier nur kurz etwas einwerfen:

Es wurde hier oft ohne weitere Erläuterung "Media Player Classic" als Alternative empfohlen. Man sollte dabei aber auch explizit den gemeinten Fork erwähnen, denn

• Media Player Classic (das "Original") => seit 11 Jahren keine Updates (EOL)
• MPC-HC => seit 2 Jahren keine Updates (vermutlich EOL)
• MPC-BE => letztes Update April 2019, daher der aktuell einzige, mir bekannte, MPC-Fork, der gepflegt wird

kA, ob es noch andere aktive Forks gibt, aber aufgrund eines Bugs im sehr gut gepflegtem VLC einen Player zu empfehlen, der nicht mehr aktiv entwickelt wird (oder nur noch eher weniger verbreitete Forks), halte ich nicht wirklich für eine gute Idee...

 

[ghecko]

Hab den Download von chip.de benutzt

Warum läd man Programme beim Zwischenhändler, wenn man sie direkt von der Quelle beziehen kann?
https://mpv.io/installation/
Ich verstehe die Windianer einfach nicht.

mpv muss auch nicht installiert werden, die Dateizugehörigkeit der Medien muss zur ausführbaren Datei verlinkt sein. Mehr nicht.

 

[Tuxgamer42]

https://de.wikipedia.org/wiki/Pufferüberlauf#Heap-Überlauf

Ist missverständlich im deutschen Wikipedia.
Erstens wird so getan, als wäre FreeBSD das einzige System, das Schutzmaßnahmen in dieser Art implementiert. Dem ist natürlich nicht so. Eigentlich ist doch sogar OpenBSD in Sachen Sicherheitsfeatures mehr der Vorreiter?

Auch bezieht sich das "nicht möglich" nicht auf "Heap-Überläufe", sondern auf "Ausführen beliebigen Code durch Ausnutzung von Heap-Überläufe". Was mich in deiner Formulierung ziemlich verwirrt hat.

Warum läd man Programme beim Zwischenhändler, wenn man sie direkt von der Quelle beziehen kann?

Gibt schon Gründe. Hauptsächlich musst du eben schauen, was die richtige Quelle ist - siehe vlc.de.

Bei chip.de weißt du wenigstens, dass die zwar versuchen dir Adware anzudrehen, aber eben nicht mehr. Da schätze man einen guten Paketmanager .

Ich weise deine merkwürdige (und zudem anmaßende) Vordergrund nach einem Link letztmalig von mir, denn wenn ich über eine Empfehlung des BSI berichte und mich trotz der Quellen noch einmal beim Editor der ursprünglichen BSI/CERT News zurück versichere, muss ich dir nicht sagen wer meine Quelle gewesen ist.

Sorry, dass ich mich hier mal einmischen muss.

Das ist doch eine Ansage! Letztendlich leben wir doch einfach in einem Zeitalter der Fake-News, in dem der Leser ein berechtigtes Interesse hat Informationen abzuchecken.
Und es nur verständlich ist, dass man einen Link mal anklickt - und sich wundert woher die Empfehlung "Die Bundesbehörde empfiehlt Anwendern sich nach einem alternativen Media Player umzusehen." kommt.

Ist ja irgendwo eine naheliegende Empfehlung. Genau genommen der absolute Standard.

Dass eine (unseriöse) Seite sich so etwas dazudichtet, leider völlig realistisch. Und passiert leider viel zu häufig dass jemand es nicht hinbekommt eine Quelle richtig abzuschreiben.

Deshalb nur ein Vorschlag (und ja, ich weiß: Im Nachhinein ist es ziemlich einfach mit solchen Ratschlägen zu kommen )?

Auf Nachfragen von Computerbase empfiehlt die
Bundesbehörde Anwendern sich nach einem alternativen
Media Player umzusehen.

Oder wenigstens unten in die Quelle "eigene Nachfrage" schreiben, dass die Quellenlage einfach klar.

bis es zeitnah ein Update gibt.

An dieser Stelle bin ich leider nicht wirklich optimistisch - nachdem im VLC-Ticket mittlerweile "work status" auf "not started" gesetzt wurde und das Ticket auch schon 4 Wochen offen ist und sich ansonsten auch nichts tut.

 

[SVΞN]

Artikel-Update: Noch immer kein Update in Sicht
Obgleich das Ticket im VLC-Bugtracker nunmehr seit vier Wochen existiert, wurde der „Work status“ nun auf „Not started“ geändert. Laut Report wird noch immer mit Priorität an dem kritischen Problem gearbeitet, ein Update ist aber nach wie vor nicht in Sicht. Anwendern sei daher weiterhin der temporäre Umstieg auf einen anderen Media Player empfohlen.

Die Redaktion dankt dem Community-Mitglied Tuxgamer42 für seinen Hinweis zum geänderten Status im VLC-Bugtracker.

 

[leipziger1979]

Anwendern sei daher weiterhin der temporäre Umstieg auf einen anderen Media Player empfohlen.

Oder es würde ausreichen keine dubiosen Dateien wiederzugeben.
Frage mich eh wie man an solche kompromittierte Dateien kommen soll?

Pron Seiten?

 

[Pitt_G.]

sehr hypothetischer Angriff, dazu muss man wohl eine entsprechende Datei aus subversiven Quellen haben,
ob Virenscanner /End Point Security Lösungen die nicht erkennen könne, wenn einem sowas per Mail zugeschickt wird?

 

[catch 22]

Stimmt, nur läuft auf den meisten Firmen Rechnern noch Windows XP oder Windows 7 ( was dann schon als modern zu bezeichnen wäre...). Beide können jedoch ab Werk nicht mit mkv umgehen oder bringen die aktuell gängigen Codecs mit. Daher wird dort die eigene Installationen verboten sind immer die Portable Version genutzt.

Gruppen Policies gibt es seit Win2k. Win NT setzte seinerzeit auf sogenannte System Policies, die inhaltlich vergleichbar waren.
Firmen die Heute noch ein WinXP ohne erweiterten Microsoft Support einsetzen (von vereinzelten "exotischen" Rechnern vielleicht abgesehen, Aufgrund von Hardware / Software Anforderungen) sollten, noch vor dem OS-Austausch, die verantwortlichen IT'ler und die Geschäftsführung austauschen, mindestens aber die Person, die das zu verantworten hat und all jene, die nicht dagegen argumentieren.
Gleiches wird bald für Win7 Clients gelten.

Einzelpersonen (egal ob als Privatanwender oder bei beruflicher Nutzung) sollten sich mehr für ihr Arbeitsgerät interessieren und sich immer kundig machen. Bei Beruflicher Nutzung sollte man zumindest Quartalsweise einen IT-Dienstleister kontaktieren. Schließlich ist der Computer ein Werkzeug der sich finanziell bemerkbar macht, im positiven wie im negativem.

Wie willst du eine Portable ausführbare Datei auf einem Rechner ausführen, wenn du sie nicht vom externen Datenträger ziehen kannst, sie womöglich nicht runterladen kannst, sie dir wahrscheinlich nur in einer Kennwort geschützten Datei zusenden kannst, aber dann doch an der White / Blacklist der ausführbaren Programme scheiterst?
Wenn eine fähige IT sagt, dass du nur die benötigten Programme ausführen darfst, dann kannst du nur diese ausführen. Und falls du nur ein Programm benutzen dürftest, dann würde ich persönlich dafür sorgen, dass du dich von der explorer.exe als Shell verabschieden darfst und Hallo zu der speziellen Anwendung sagst, denn nebst einem schwarzen Bildschirm, einem beschnittenem Task-Manager und dem Sperr-Bildschirm ist das alles, was du auf deinem Rechner sehen würdest.

Ein sicheres Windows ist möglich und unterscheidet sich von Windows auf Privatrechnern, wie der Hausarrest im Spielzimmer von verschärfter Einzelhaft bei Wasser und Brot in einem dunklen Loch auf der Rückseite des Mondes ohne Raumanzug und Wärter.

 

[sysrq]

Einfach zu mpv wechseln.

 

[gert787]

Ich habe nicht alle 14 Seiten gelesen, allerdings will ich hier nur kurz etwas einwerfen:

Es wurde hier oft ohne weitere Erläuterung "Media Player Classic" als Alternative empfohlen. Man sollte dabei aber auch explizit den gemeinten Fork erwähnen, denn

• Media Player Classic (das "Original") => seit 11 Jahren keine Updates (EOL)
• MPC-HC => seit 2 Jahren keine Updates (vermutlich EOL)
• MPC-BE => letztes Update April 2019, daher der aktuell einzige, mir bekannte, MPC-Fork, der gepflegt wird

kA, ob es noch andere aktive Forks gibt, aber aufgrund eines Bugs im sehr gut gepflegtem VLC einen Player zu empfehlen, der nicht mehr aktiv entwickelt wird (oder nur noch eher weniger verbreitete Forks), halte ich nicht wirklich für eine gute Idee...

hier stand blödsinn sorry

 

[Herdware]

Warum läd man Programme beim Zwischenhändler, wenn man sie direkt von der Quelle beziehen kann?
https://mpv.io/installation/
Ich verstehe die Windianer einfach nicht.

Ich habe selbst schlechte Erfahrungen mit Chip.de-Downloads gemacht, aber ehrlich gesagt, würde ich niemandem einen Vorwurf machen, der der Website eines bekannten, deutschen Computermagazins mehr vertraut, als einer Website mit einer Domainadresse des "Britischen Territoriums im Indischen Ozean"!

Das schreit doch Betrug und wenn das wirklich die offizielle Webadresse der echten Macher von mpv ist, dann sollten die vielleicht nochmal darüber nachdenken, was für einen ersten Eindruck die damit erzeugen.
Wenn ich auf Google nach einer Downloadmöglichkeit für so ein Tool suche und dabei auf so eine obskure Adresse stoße, würde ich die nicht mal aus einer Wegwerf-VM heraus anklicken wollen.

Ich habe mir angewöhnt Downloadportale denen ich vertraue (z.B. Computerbase) zu nutzen, oder zumindest darüber die echte Homepage der Entwickler herauszufinden. Wenn ich da nichts finde, lasse ich im Zweifelsfall lieber ganz die Finger davon. Wie gesagt kann man z.B. einer Google-Suche jedenfalls nicht vertrauen. Da werden einem viel zu leicht falsche Websites von Betrügern an oberster Stelle angezeigt.

 

[Ecoli86]

Einfach zu mpv wechseln.

Wie ist denn das Sicherheitsniveau vom diesem mpv?

@ghecko Hat mpv einen Audit und durch wen gehabt? Wann war das letzte Sicherheitsupdate? Sind die in den letzten Versionen von vlc gefixten Sicherheitslücken, auch im mpv so vorhanden und gefixt wurden?

Vlc befindet sich gerade im einem Audit der EU, wodurch vorherige Sicherheitsfehler gefunden und in 3.0.7 behoben wurden.

 

[Zero_Point]

Ich gehe hiermit letztmalig auf deinen Blödsinn ein und sag’s dir noch einmal. Weshalb glaubst du dass mein Artikel seit der Veröffentlichung hiert unverändert so steht?

Du siehst doch dass meine News (ungeachtet deiner haltlosen Vorwürfe) nach wie vor unverändert Bestand hat.

Dann solltest du dir den Artikel vielleicht nochmal genauer anschauen.

Weshalb gibt’s mittlerweile zig Seiten die a) ähnlich Headlines und News verfasst haben und b) die Quintessenz nicht ein einziges Mal widerrufen wurde?

Ich weiß nicht was "zig andere Seiten" (die wahrscheinlich nichts mit IT zu tun haben) schreiben. Wird es dadurch richtiger, dass jede denselben Mist (ab)schreibt?

Ich kann’s dir sagen. Weil die News ganz einfach ordentlich recherchiert wurde und ich bevor ich meine News veröffentlicht habe mit den entsprechenden Leuten Rücksprache gehalten habe. Deshalb steht die News hier seid Tag eins unverändert.

Und weil du so ordentlich recherchiert hast, sah sich offenbar die Chefredaktion am Samstag dazu veranlasst, ein Update mit der wichtigen Info nachzuliefern.

Vor meinem letzten Post hat @Hayda Ministral kritisch nachgefragt und @Ecoli86 hat geantwortet. Ich habe (da ich angesprochen wurde) umgehend darauf geantwortet und auch exakt dargelegt woher ich meine Informationen habe. Damit ist die Sache geklärt.

Leider hat Ecoli86 nicht auf die Frage von @Hayda Ministral geantwortet, sondern nur dich wahllos zitiert.

Ich schreibe die News und muss den Inhalt verantworten, was ich ohne Probleme kann da ich die entsprechenden Hintergrundinformationen habe.

...deren Quelle du leider nicht mitteilen möchtest. Oder vielleicht nicht kannst?

Zumal du einer der wenigen hier bist der das Thema künstlich aufbauscht.

Genau, der ganze Thread ist voll mit Kritik, aber es sind nur ganz wenige.

Hier alles in Abrede zu stellen oder eine News als unseriös hinzustellen nur weil du keinen direkten Zugang zu Informationen oder eine Quelle hast, ist einfach schlechter Stil.

Behauptungen ohne Quelle aufzustellen ist einfach schlechter Journalismus.

 

[ghecko]

@Herdware
mpv ist ein Projekt welches hauptsächlich auf git lebt. Die Webpräsenz ist das was sie sich schimpft, mehr nicht. Builds für Windows werden von Entwicklern kompiliert und hauptsächlich extern gehostet. Ich begleite das Projekt seit der Anfangszeit. Vertraue ich also der Domain mehr als der des werbeversifften Axel-Springer Magazins?
Ja.

@Ecoli86
Ich kann dir sagen was mpv nicht ist: die meistgenutzte Abspielsoftware für Medien, also ein ziemlich unattraktives Ziel für Angreifer. VLC ist auf nahezu jedem PC irgendeiner Behörde installiert.
Die Codebasis von VLC mit der von mpv zu vergleichen ist lachhaft.
Was mpv hingegen ist: der derzeit aktuellste Player, was die Unterstützung der Funktionen von ffmpeg angeht. Wenn ffmpeg was kann, wird es durch mpv unterstützt.
Zudem wird an ihm nahezu täglich aktiv entwickelt. Ich ziehe mir wöchentlich die neueste Version von git und immer gab es Änderungen im Code. Wenn man ein Problem hat oder eine Funktion vermisst, kann man im IRC direkt mit den Entwicklern quatschen.

Ein Audit der EU. Die EU, die Microsoft für ihre Verwaltung als Alternativlos bezeichnet? Die sollten Windows 10 mal auf Hintertürchen auditieren. Halt warte, Patriot Act. Schade.

 

[so_la_la]

Was wären denn empfehlenswerte Alternativen neben "Media Player Classic"?

Mittlerweile gibt es ganz gute Alternativen. Kodi zum Beispiel.

Also falls irgendjemand sich für eine Audio-Alternative interessiert:
Musicbee

Wer nutzt eigentlich noch den VLC?

Manche Programme benötigen VLC, zB Easytranscript.

 

[Ecoli86]

Ich kann dir sagen was mpv nicht ist: der meistgenutzte Videoplayer, also ein ziemlich unattraktives Ziel für Angreifer. Die Codebasis von VLC mit der von mpv zu vergleichen ist lachhaft.

Es gibt auch keinen Angriff auf VLC laut heise
etc. Danke für deine Info zur Codebasis.

Nachtrag: Du hast deinen Text nach meinem Zitat geändert.