News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen
- Ersteller SVΞN
- Erstellt am
- Zur News: VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen
Also wenn das BSI so eine Meldung eraus gibt, dann ist computerbase hier nichts vorzuwerfen. Klar hätte man es auch nachtesten können. Nur was hätte das gebracht? Wenn sich das nicht reproduzieren lässt, dann liegt es ja in 99% der Fälle daran, dass man irgendetwas falsch gemacht hat. Das wäre bestenfalls eine kleine Zusatzbemerkung in der News "konnten den Fehler im Test bisher leider noch nicht nachstellen".
Dass die Leute von VideoLAN nicht kontaktiert wurden ist etwas seltsam aber noch seltsamer ist es wenn die sich komplett tot stellen.
Dass die Leute von VideoLAN nicht kontaktiert wurden ist etwas seltsam aber noch seltsamer ist es wenn die sich komplett tot stellen.
Hayda Ministral
Banned
- Registriert
- Nov. 2017
- Beiträge
- 7.835
adius schrieb:
Welche Auwirkung erwartest Du zu verspüren wenn Dein Rechner gerade in diesem Augenblick als Teil eines Botnetzes Angriffe auf andere durchführt oder Kinderpornos zum Abruf bereit hält?
Ergänzung ()
halbtuer2 schrieb:
So wie es für mich aussieht entsprang die Empfehlung des BSI nur in Ryzens überbordender Phatasie. Das schließe ich aus dem Fehlen der URL zur angeblichen Empfehlung.
Ergänzung ()
CrunchTheNumber schrieb:
Durchaus möglich. Fragt sich nur, wo die angebliche Empfehlung zu finden wäre.
Ergänzung ()
Ultrapower schrieb:
Gut zu wissen dass Du Dir da zu 100% sicher bist. Magst Du uns dann bitte auch noch mitteilen woraus Du Deine Sicherheit beziehst? Welche Informationen hast Du über die in der breiten Masse benutzten Versionen?
Zuletzt bearbeitet:
Hayda Ministral schrieb:
Das ist kein Geheimnis, dass 0815 User ihre software nicht patchen.
Beispiele:
Nur ein Bruchteil der Besucher meiner webseite hatten eine aktuelle Version ihres browsers installiert. (Inzwischen darf ich es nicht mehr auswerten, aber wird sich nicht geändert haben im letzten Jahr)
Auf meinem Teamspeak server haben nur 20% der User eine aktuelle Client Version. Und das sind in der Regel eigentlich etwas versiertere User - sollte man meinen.
Zwei Kunden von mir mit insgesamt über 10.000 angestellten verteilen noch VLC 2.x über ihre Softwareverteilung, weil keine Zeit da ist.
Und zu guter Letzt: schau dir an wie viele Leute noch mit XP unterwegs sind
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.898
thrawnx schrieb:
Mal ist es einfacher, eine Sicherheitslücke sicher nachzuweisen, mal schwieriger. Nur weil es bei den eigenen Versuchen nicht klappt, muss das auch nicht heißen, dass die Software (oder Hardware) wirklich sicher ist. Vielleicht müssen bestimmte Bedingungen erfüllt sein (z.B. OS-Version oder Einstellungen an der Firewall usw.). Solche Tests sind deshalb eher was für Institute wie CERT oder NIST.
Nehmen wir z.B. die CPU-Bugs (Spectre, Meltdown und Co.), die in den letzten Monaten und Jahren große Schlagzeilen gemacht haben. Wie viele IT-Websites, Zeitungsverlage usw. werden die wirklich selbst nachvollzogen haben, bevor sie darüber berichtet haben?
Sich von einem von Dritten programmierten Tool eine theoretische Verwundbarkeit anzeigen zu lassen, ist das eine. Aber selbst einen solche Sicherheitslücke erfolgreich auszunutzen, ist etwas ganz anderes.
(Z.B. weil man bei diesen über die Out-Of-Order-Execution funktionierenden Angriffszenarien prinzipbedingt keine Kontrolle darüber hat, auf welche Speicherbereiche man zugreifen kann. Damit z.B. Passwörter auszulesen, über die man dann Zugriff auf eine geschütze Umgebung bekommen kann, wäre reiner Zufall. In den meisten Fällen wird man nur Kauderwelsch sehen und nicht beurteilen können, ob man Zugriff auf Daten aus geschützten Speicherbereichen hatte oder nicht.)
Hätten man sich also mit Berichterstattung darüber zurückhalten sollen? Wäre das mehr im Interesse der Anwender gewesen? Wenn ja, wie lange warten? Bis zur Stellungnahme von Intel und Co.? Was wenn die sich nicht rühren?
Ich sehe in diesem VLC-Fall das Versagen ganz klar bei BSI, CERT und NIST, nicht bei den Medien, die auf Grundlage dieser Warnungen darüber berichtet haben.
Waren ja auch nicht nur "kleine" IT-Websites wie Computerbase, die darauf reingefallen sind. Ich habe spät gestern Abend noch einen Stern-Artikel über die vermeintliche Sicherheitslücke in der Microsoft-News-App gehabt. Der hat garantiert viel mehr Pubilkum erreicht und Panik verursacht, als die (ständig aktualisierte) CB-Meldung.
Zuletzt bearbeitet:
Bartmensch
Commodore
- Registriert
- Mai 2010
- Beiträge
- 4.808
Um es mit Shakespeare zu sagen: " ...Viel Lärm um nichts..."
Danke den Teilnehmern, insbesondere unserem BSI
Danke den Teilnehmern, insbesondere unserem BSI
Es wäre langsam echt mal angebracht, dass die Leute lernen was "Fake News" bedeutet und damit aufhören, diesen Begriff inflationär zu gebrauchen.
Ganz genau. Zusätzlich muss man sich aber dennoch die Frage stellen, warum VideoLAN erst so spät reagiert hat. Selbst wenn zuvor kein Kontakt zu VLAN aufgenommen wurde, sollte bei solchen Vorwürfen, die den Ruf massiv untergraben, sofort der Alarm angehen und man instant Stellung beziehen - nicht erst 4 (VIER!!) Tage später.Herdware schrieb:
kicos018 schrieb:
Das ist keine Firma so wie du dir das vorstellst. Das sind ein paar Leute die das stemmen. Die machen das nebenher.
Edit: Bis die das Problem erstmal finden dauert es schon locker 2 Tage. Übereilte Aussagen helfen hier auch nicht wenn man sie wieder revidieren muss.
Herdware schrieb:
Tut mir leid, aber das ist ein furchtbar schlechter Vergleich. CPU Bugs zu prüfen braucht extrem viel mehr Wissen und Fähigkeiten als ein Video abzuspielen dass auch noch mitgeliefert wird. Ausserdem hat niemand hier erwartet oder behauptet dass CB einen erfolgreichen Exploit aufgrund der Verwundbarkeit hätte programmieren sollen. Aber zumindest mal gucken ob der Player tatsächlich crashed, in dem ich die genannte File ein paar Mal loope, das wäre schon machbar gewesen.
Ja, das Versagen ist eindeutig bei BSI/NEST & Co und hat sich dann bei den Medien die das blind übernommen haben fortgesetzt. Sorry, aber Nachrichten ohne Überprüfung copy/pasten ist in meinen Augen kein seriöser Journalismus, schnell sein zu wollen ist da keine Entschuldigung. Und CB ist alles andere als eine kleine Website.
thrawnx schrieb:
Was macht das für einen Unterschied ob die das Video abspielen? Je nach Version von der lib segfaulted der VLC und dann? War das dann ein POC der beweist das VLC unsicher ist? Das war dann allerhöchstens ein POC der zeigt, dass die lib unsicher ist. Aber auch nur dann wenn man nen Debugger benutzt. CB ist nicht in der Lage das nachzuprüfen nehme ich jetzt mal an. Das wäre Aufgabe vom CERT gewesen. So funktionieren wissenschaftliche Medien nunmal. Kann der Spiegel nachprüfen wenn sie über die Mondlandung berichten?
Herdware
Fleet Admiral
- Registriert
- Okt. 2011
- Beiträge
- 17.898
thrawnx schrieb:
Würde das irgendwas aussagen? Ein Crash muss keine Sicherheitslücke sein. Was wenn es nicht crasht? Ist VLC dann sicher? Und es weiss doch keiner, was es mit der manipulierten Videodatei überhaupt auf sich hat.
Wenn man nicht selbst genau versteht, wie die Sicherheitslücke funktioniert, und sie selbst, ohne vorgefertigte Tools oder Daten Dritter, ausnutzen kann, kann man auch nicht sicher sein.
Das kann man von den allerwenigsten Journalisten erwarten. Deshalb gibt es Organisationen wie z.B. BSI, CERT und NIST, die Experten für so etwas haben und offizielle Warnungen herausgeben, die die Journalisten dann weiterverbreiten.
Es ist Aufgabe eines journalistischen Mediums, die Quellen einer Meldung (hier BSI u.a.) auf Seriösität zu überprüfen und ggf. Rücksprache zu halten und weitere Quellen beizuziehen (Recherche). Das ist hier geschehen.
Es ist hingegen NICHT Aufgabe eines journalistischen Mediums, auch nicht eines solchen aus dem IT-Bereich, für jeden Pups eine eigene Versuchsanordnung zu kreieren, um die Basis der Nachricht selbst nachzustellen und zu reproduzieren. Manche haben hier echt Vorstellungen... bleibt mal auf dem Teppich!
Demnächst wird man noch von einer Zeitung verlangen, einen eigenen Teilchenbeschleuniger für xxx Milliarden Euro zu bauen, bevor darüber berichtet werden darf, dass eine Fachzeitschrift über die Entdeckung eines neuen Elementarteilchens berichtet.
Es ist hingegen NICHT Aufgabe eines journalistischen Mediums, auch nicht eines solchen aus dem IT-Bereich, für jeden Pups eine eigene Versuchsanordnung zu kreieren, um die Basis der Nachricht selbst nachzustellen und zu reproduzieren. Manche haben hier echt Vorstellungen... bleibt mal auf dem Teppich!
Demnächst wird man noch von einer Zeitung verlangen, einen eigenen Teilchenbeschleuniger für xxx Milliarden Euro zu bauen, bevor darüber berichtet werden darf, dass eine Fachzeitschrift über die Entdeckung eines neuen Elementarteilchens berichtet.
konkretor
Artikeldetektiv
- Registriert
- März 2011
- Beiträge
- 7.106
So hier Heise legt auch nach
https://www.heise.de/security/meldu...-Entwickler-warnen-vor-Fake-News-4478560.html
https://www.heise.de/security/meldu...-Entwickler-warnen-vor-Fake-News-4478560.html
MADman_One
Captain
- Registriert
- Sep. 2004
- Beiträge
- 3.712
Mich hatte als Entwickler gewundert, warum VLC solange brauchte um die Lücke zu fixen (die Art der Lücke klang für mich so, als wäre sie eigentlich recht einfach zu fixen). Jetzt wird das natürlich klarer, denn eine Lücke im eigenen Code zu finden die es nicht (mehr) gibt bzw ihre Nicht-Existenz zu verifizieren, dauert naturgemäß deutlich länger, habe mich auch schon dusselig nach einem Problem gesucht das gar nicht da war, sondern durch eine andere Komponente verursacht wurde und nur so ähnlich aussah.
Aber hochgradig ärgerlich wenn Sicherheitsunternehmen schlampig arbeiten. Gerade da geht es um Vertrauen und das ist so ganz schnell unwiederbringlich zerstört und die Leute fangen an echte Warnungen zu ignorieren weil sie kein Vertrauen mehr haben.
Aber hochgradig ärgerlich wenn Sicherheitsunternehmen schlampig arbeiten. Gerade da geht es um Vertrauen und das ist so ganz schnell unwiederbringlich zerstört und die Leute fangen an echte Warnungen zu ignorieren weil sie kein Vertrauen mehr haben.
