News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[ghecko]

Erst später kam die wichtige Info, dass offensichtlich eine manipulierte Datei abgespielt werden muss um die Lücke auszunutzen.

Das ist es, was eine Lücke ist. Eine Lücke erlaubt es Schadsoftware, ihren Zweck zu tun. Ohne Lücke ist auch Schadsoftware wirkungslos. Genauso wie ohne Schadsoftware eine Lücke folgenlos sein wird. Das war keine wichtige Info die man dir vorenthalten hat, sondern du warst nicht in der Lage diesen Sachverhalt als solchen zu erkennen.

Das macht v.a. für die Privatanwender (die Zielgruppe von CB, kein seriöser Admin hat CB als Quelle) einen riesigen Unterschied ggü. der Suggerierung, dass man durch abspielen jeglicher Datei oder dem bloßen Öffnen von VLC einer schweren Lücke ausgesetzt ist.

Der Lücke bist du ausgesetzt, sobald das Programm läuft. Ausgenutzt wird sie, wenn eine kompromittierte Datei damit abgespielt wird.

Lücke -> Offenes Fenster
Schadsoftware -> Die Wespe, die sich irgendwann dazu entscheidet, durch dein offenes Fenster zu fliegen, weil du gerade Kuchen mampfst.

aber der Leser muss die Chance bekommen, die Gefahr anhand aller bekannten Infos selbst einzuschätzen und sollte nicht dazu getrieben werden panisch sich die erstbeste Alternative runterzuladen.

Wenn ich mir die Beiträge so durchlese, muss ich Einigen diese Entscheidungsfähigkeit aufgrund mangelnder geistiger Fähigkeiten aberkennen. Du bist einer davon.
Du solltest dich wenn überhaupt über dich selbst aufregen, nicht über den Redakteur.

 

[DJMadMax]

Ich kann nur sagen, dass auch ich erst einmal jedem davon abraten würde, eine Software zu nutzen, in der eine potenzielle Gefahr entdeckt wurde - ganz ungeachtet der Art und Weise dieser Gefahr. Wenn man mich nach dem genauen, technischen Hintergrund fragen würde, würde ich weiterhin darauf beharren, eine Alternative zu suchen, mit dem Zusatz, dass mir bis dato noch nicht bekannt ist, was genau eigentlich das Problem ist.

Im Zweifelsfall ist es immer sicherer, dieser Gefahr erst einmal komplett aus dem Weg zu gehen. Mit Sensationsnews hat das für mich wenig zu tun. Der Beweis wurde letztendlich nachgeliefert, womit die News ansich nun vollständig ist.

Sven ist noch nicht allzu lange im Redaktionsstab von ComputerBase, ihm fehlen sicher noch einige Routinen und das Feingefühl dafür, was man in einer mehr oder weniger beiläufigen News erwähnt und was nicht und in welchen Bereichen es sich durchaus lohnt, noch einmal die Quellen nachzurecherchieren.

"Wir", die Leser, sind aber auch keine leicht zufriedenzustellende Klientel! Wie oft lese ich hier im Forum abfällige Kommentare, wie "Oh, toll, dass diese Uralt-News es nun nach drölf Jahren auch auf CB geschafft hat". Ob nun als angestellter Redakteur, als freier Mitarbeiter oder gar als ehrenamtliches Mitglied - Leistungsdruck verspürt man immer, besonders bei solch kritischen Themen, bei denen man nicht allzu viel Zeit verplempern sollte.

Sven wird beim nächsten Mal sicher einen zweiten Blick auf die Quellen und Sachverhalte werfen, die er als News/Beitrag/Test zu posten beabsichtigt, aber als Leser dieser Beiträge sollte es nicht das wichtigste sein, den News-Ersteller mundtot zu machen, sondern ihn sachlich und vernünftig zu unterstützen.

 

[gesperrter_User]

Und als Spectre bekannt wurde habt ihr zwei sofort auf AMD geswitcht nachdem CB eine AMD Prozessor empfehlung ausgesprochen hat. verstehe verstehe...

 

[deo]

Solange eine Lücke nicht praktisch ausgenutzt wird, ist es nicht akut.

 

[DJMadMax]

Und als Spectre bekannt wurde habt ihr zwei sofort auf AMD geswitcht nachdem CB eine AMD Prozessor empfehlung ausgesprochen hat. verstehe verstehe...

Zum Glück kann und darf jeder Mensch in unserem Land noch selbst entscheiden, welches Produkt am Markt er kauft und einsetzt. Manche können sogar, wie @ghecko es erwähnte und so unglaublich das auch klingen mag, sogar für sich selbst entscheiden, ob ein Risiko so potenziell ist, dass es ein Handeln erforderlich macht oder eben nicht.

 

[Zero_Point]

Das ist es, was eine Lücke ist. Eine Lücke erlaubt es Schadsoftware, ihren Zweck zu tun. Ohne Lücke ist auch Schadsoftware wirkungslos. Genauso wie ohne Schadsoftware eine Lücke folgenlos sein wird. Das war keine wichtige Info die man dir vorenthalten hat, sondern du warst nicht in der Lage diesen Sachverhalt als solchen zu erkennen.

Der Lücke bist du ausgesetzt, sobald das Programm läuft. Ausgenutzt wird sie, wenn eine kompromittierte Datei damit abgespielt wird.

Lücke -> Offenes Fenster
Schadsoftware -> Die Wespe, die sich irgendwann dazu entscheidet, durch dein offenes Fenster zu fliegen.

Dein Beispiel zieht leider nicht. Wenn es das Fenster deines Autos, das in der Garage steht, ist, dann wird dir die Wespe eher egal sein als wenn es neben einem Wespennest steht. Hier sieht man deine mangelnde Kompetenz die Gefahr abzuwägen.
Ich frag mich, ob du nun dafür plädierst öffenbare Fenster abzuschaffen, weil Wespen reinfliegen können. Gibt schließlich nur schwarz und weiß bei dir.

 

[ghecko]

Dein Beispiel zieht leider nicht. Wenn es das Fenster deines Autos, das in der Garage steht, ist, dann wird dir die Wespe eher egal sein als wenn es neben einem Wespennest steht. Hier sieht man deine mangelnde Kompetenz die Gefahr abzuwägen.
Ich frag mich, ob du nun dafür plädierst öffenbare Fenster abzuschaffen, weil Wespen reinfliegen können. Gibt schließlich nur schwarz und weiß bei dir.

Oh Gott ein Philosoph. Sorry, da komme ich mit Logik nicht gegen an.

 

[Ecoli86]

Also bin weiter gespannt wohin die Aufforderung zur Suche von Alternativen zu VLC unter den usern und VLC Programmierern führt.

 

[Hayda Ministral]

Weder ich (oder gar ComputerBase) programmieren Media Player oder besitzen irgendwelche Aktien an Konkurrenzprodukten des VLC Media Players. Es ist also völlig absurd und abwegig hier ein „Geschmäckle“ oder sonstiges zu sehen, wo keins ist.

Möglicherweise gibt es hier ein Mißverständnis was mein Posting angeht. Ich habe/wollte darauf hingewiesen dass in der von Dir verlinkten Warnung vor der Sicherheitslücke eben keine derartige Empfehlung zu lesen ist. Aus meiner Sicht hast Du die Frage nach dem Link zur angeblichen oder tatsächlichen Empfehlung, einen anderen Player zu verwenden, komplett ignoriert. Das wiederum erweckt bei mir den Eindruck dass Du möglicherweise übers Ziel hinaus gegangen bist und die tatsächliche Meldung mit einer aus Deiner Sicht nebensächlichen Erfindung etwas aufgepeppt hast. Das meinte ich mit "Geschmäckle", nicht etwa irgendwelche dunklen Machenschaften zur Erringung der Weltherschaft durch Diskreditierung des VLC.

Daher abschließend nochmal: Wenn es eine Empfehlung "ausweichen" des BSI/CERT gibt dann bitte ich um Quellenangabe, idealerweise in Form eines Links auf diese Empfehlung. Alternativ auch mit Nennung desjenigen BSI/CERT-Mitarbeiters der befugt ist eine solche Empfehlung im Namen des BSI/CERT auszusprechen und das auch getan hat.

Zudem bin ich nicht dazu verpflichtet auf Zuruf (oder Verlangen) Quellen zu nennen.

Ich habe keine journalistische Ausbildung, aber mein Bauchgefühl sagt mir dass es für einen Journalisten eigentlich eine Selbstverständlichkeit sein sollte seine Quelle (ggf. in geeigneter Form als "auf eigenen Wunsch anonym" - was aber hier wohl kaum begründbar wäre) spätestens auf Nachfrage zu benennen.

Ergänzung (23. Juli 2019)

Stimmt, nur läuft auf den meisten Firmen Rechnern noch Windows XP oder Windows 7

Beweis durch Behauptung? Sehr vertrauenswürdig.

Ergänzung (23. Juli 2019)

Oder es würde ausreichen keine dubiosen Dateien wiederzugeben.

Wir sollten Zensursula zur Innenministerin machen. Einfach ein Stoppschild gegen dubiose Dateien als Aufkleber auf den Router und schon ist das Problem gelöst. Es kann so einfach sein...

 

[catch 22]

...
Ich habe/wollte darauf hingewiesen dass in der von Dir verlinkten Warnung vor der Sicherheitslücke eben keine derartige Empfehlung zu lesen ist. Aus meiner Sicht hast Du die Frage nach dem Link zur angeblichen oder tatsächlichen Empfehlung, einen anderen Player zu verwenden, komplett ignoriert. ...

Weder das BSI, das CERT, das NVD und schon gar nicht eine nur berichtende Fachzeitschrift / Internetseite wie Heise oder CB, wird in diesem Kontext jemals den Fehler begehen eine Alternative zu empfehlen, da aus solch einer Empfehlung im Schadensfall ein Rechtsanspruch folgen kann.
Selbst eine Liste der möglichen alternativen Anwendungen werden diese Stellen nur zögerlich und mit äußerstem Bedacht angeben.

CB kommt mit diesem Artikel lediglich dem selbst gesetzten journalistischem Auftrag nach und publiziert die Information aus einer offiziellen Quelle, wie man der Formulierung im Artikel eins ums andere mal direkt erkennen kann.

Spoiler

"Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team (CERT) warnen vor einer ..."
"... Das BSI erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung und warnt nun vor einer kritischen Sicherheitslücke ..."
"... Auch die US-Regierung warnt in der National Vulnerability Database (NVD), ihrem Katalog für Sicherheitslücken, vor der Bedrohung. ..."

Jegliche weitergehende Recherche zu dieser Meldung ist freiwillig und wird kaum über das eigentliche Thema (Sicherheitslücke) hinausgehen.

Eine (mögliche) Alternative muss jeder eigenverantwortlich für sich selbst auswählen.

 

[Ecoli86]

Wann ist es in dem Ablauf an der Zeit die VLC Programmierer-Aussagen ernstzunehmen?

 

[m.Kobold]

@Zero_Point
Der Admin der vor knapp 5 Monaten noch normaler user war, den ich vor lauter blabla und heißer Luft schon eine halbe ewigkeit in meiner Ignoreliste habe xD

VLC nutze ich täglich und hier wird gar nichts kompromietiert, da muß man sich schon absichtlich auf irgendwelche Virenverseuchten Seiten aufhalten und dort irgendwie random .mkv .mp4 dateien öffnen um
von sowas betroffen zu werden... total übertrieben so eine big news von so einen kleinen Thema zu machen.

Ich hab zwar auch noch 2 andere Mediaplayer drauf aber nutze weiterhin den VLC... weil es einfach der beste Player ist.

 

[Zero_Point]

@Hayda Ministral
+1

@catch 22
Du solltest die Beiträge lesen. Es geht nicht um eine Empfehlung seitens CB, sondern um eine Quelle der im Artikel genannten angeblichen Empfehlung des BSI/CERT auf einen anderen Player zu wechseln. Am Besten in Form eines Links. Auf der verlinkten Seite des CERT ist davon absolut nichts zu sehen. Trotzdem weigert sich der Autor trotz mehrerer Nachfragen stur seine Quelle zu nennen. Warum wohl?

 

[catch 22]

@Zero_Point
Die Warnung an sich ist die Empfehlung sich nach was anderem umzuschauen, notfalls zumindest bewusst mit dem in diesem Fall beträchtlichem Risiko umzugehen.

 

[Gamefaq]

Beweis durch Behauptung? Sehr vertrauenswürdig.

Was willst du von mir? Kann es sein das du den falschen zitiert hast?

 

[Valkyrissa]

Ich habe mir jetzt einfach mal im Rahmen dieses Artikels den PotPlayer testweise installiert und ausprobiert. Mein Ersteindruck ist positiv. Ein bisschen Veränderung ist auch immer gut und ich habe den VLC vermutlich zu lange benutzt - immer das selbe zu verwenden ist ja eigentlich langweilig.

 

[DRAKO1337]

Also wäre ich VLC würde ich mir da keine großen Gedanken machen... klar gibt es hier einen medialen Druck wegen der Bekanntheit. Aber ich glaube dass robUx4 bereits dran arbeitet... schließlich muss er den Grund zum Overflow finden und dabei reicht es nicht einfach in demux.cpp reinzugehen und da den Code zu korrigieren.

Da unsere CB-Community eh nur aus Elite Hacker/Coder/Hijacker besteht würde ich euch bitten den robUx4 von VLC beim Reverse Code Engineering zu helfen

"heap-buffer-overflow" in "demux.cpp when called from mkv::Open". > LINK

 

[Hitomi]

War wohl mal wider nur ein Sturm im Wasserglas: https://www.deskmodder.de/blog/2019/07/24/vlc-media-player-sicherheitsluecke-nicht-reproduzierbar/

 

[Gnah]

War wohl mal wider nur ein Sturm im Wasserglas: https://www.deskmodder.de/blog/2019/07/24/vlc-media-player-sicherheitsluecke-nicht-reproduzierbar/

Selbst wenn der Fehler reproduzierbar gewesen wäre hätte es der gute Stil und die Sicherheit der Nutzer geboten diesen Fehler zuallererst mal dem Hersteller zu melden, damit dieser die Lücke beheben kann ohne dass die Lücke in der Öffentlichkeit breitgetreten und dann von Hunz und Kunz ausgenutzt werden kann.

 

[crogge]

Geändert 22 Minuten ago durch Jean-Baptiste Kempf

Komponente:	Demuxers: MKV → Build system: Contribs
Lösung:	→ fixed
Meilenstein:	Bugs paradize → 3.0.3
Status:	new → closed

Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...

Letztendlich wird auf libebml verwiesen.