ComputerBase Menü
Aktuelles

News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

Was für Konsequenzen hat es, wenn alle Systeme stets mit aktueller Software und den letzten Updates versorgt sind? Doch nur, dass nun auch die Schwachstellen der neusten Software ausgenutzt werden müssen, weil der einfachere Weg über veraltete verbaut ist. Es wird dann nicht weniger passieren. Die Methoden werden nur angepasst und meiner einer ist plötzlich genau so dran, wie die Schlamper, die im Moment das Gros ausmachen und weswegen es sich nicht lohnt, diejenigen anzuzapfen, die ihre Hausaufgaben machen. Die können nämlich auch keine Sicherheitslücken in Eigenregie stopfen, wenn die Softwarehersteller pennen.
 
thrawnx schrieb:
In der Regel kann und sollte man von Medien schon erwarten dass sie ihre Fakten checken, nennt sich Journalismus, ist deren Beruf und dafür werden sie bezahlt.
Zum Vergrößern anklicken....
Du kannst ja dein Geld zurück verlangen...
Herdware schrieb:
Ich sehe in diesem VLC-Fall das Versagen ganz klar bei BSI, CERT und NIST, nicht bei den Medien, die auf Grundlage dieser Warnungen darüber berichtet haben.

Waren ja auch nicht nur "kleine" IT-Websites wie Computerbase, die darauf reingefallen sind. Ich habe spät gestern Abend noch einen Stern-Artikel über die vermeintliche Sicherheitslücke in der Microsoft-News-App gehabt.
Zum Vergrößern anklicken....
Ich denke, hier muss man differenzieren.
Wenn eine Tageszeitung oder eine Illustrierte die keine besondere Expertise auf dem Gebiet haben einfach nur die BSI-/NIST-/Mitre-Falschmeldung unhinterfragt verbreiten, dann mache ich ihnen da keinen Vorwurf. Sie wissen es halt selber nicht besser.

Wenn aber eine IT-Fachseite wie ComputerBase das tut, obwohl sie die Möglichkeit gehabt hätten, dies nachzuprüfen, dann ist das nicht entschuldbar. Zumal das anscheinend nicht der erste Vorfall dieser Art ist (siehe Golem-Artikel).
 
  • Gefällt mir
Reaktionen: Zero_Point und new Account()
chithanh schrieb:
Wenn aber eine IT-Fachseite wie ComputerBase das tut, obwohl sie die Möglichkeit gehabt hätten, dies nachzuprüfen, dann ist das nicht entschuldbar.
Zum Vergrößern anklicken....

Hat Computerbase diese Möglichkeit?
Ich bin mir nicht sicher, ob dort jemand arbeitet, der qualifiziert genug ist, eine Sicherheitslücke in einem Programm wie VLC (und all den dazugehörigen Libraries) sicher nachzuweisen oder auszuschließen. Und selbst wenn, dürfte diesem Software-Experten schlicht die Zeit fehlen, sowas vor jeder Meldung durchzuziehen. Das ist nicht deren Job.

Wie gesagt gibt es extra Institute und Behörden, die sich auf sowas spezialisiert haben, und wenn die daraufhin so eine offizielle Warnmeldung rausgeben, dann sollte man die eigentlich direkt ernst nehmen können, ohne jedesmal vorher nochmal selbst zu versuchen das nachzuvollziehen.
 
  • Gefällt mir
Reaktionen: Hayda Ministral und L34tSp34k
Herdware schrieb:
Hat Computerbase diese Möglichkeit?
Ich bin mir nicht sicher, ob dort jemand arbeitet, der qualifiziert genug ist, eine Sicherheitslücke in einem Programm wie VLC (und all den dazugehörigen Libraries) sicher nachzuweisen oder auszuschließen. Und selbst wenn, dürfte diesem Software-Experten schlicht die Zeit fehlen, sowas vor jeder Meldung durchzuziehen. Das ist nicht deren Job.
....
Zum Vergrößern anklicken....

Ach komm, hör doch auf mit solchen Geschwätz!

Es geht nur darum keine Sachen ungeprüft einfach abzuschreiben, mehr nicht.
Ist schon seltsam das manche Seiten es geschafft haben und manche halt einfach copy&paste.

Das Thema ist gegessen, war alles heiße Luft. Mehr nicht. Braucht hier keiner CB zu verteidigen oder ähnliches. Die wissen selbst dass das kacke war. Punkt aus!
 
  • Gefällt mir
Reaktionen: new Account()
Rolf_1985 schrieb:
Ist schon seltsam das manche Seiten es geschafft haben
Zum Vergrößern anklicken....

Seiten wie Golem, die einfach nur ausprobiert haben ob VLC mit der bereitgestellten Datei abschmiert oder nicht.
Was sagt das aus? Wie soll das mit Sicherheit beweisen, dass da keine Sicherheitslücke ist? Warum soll man davon ausgehen, dass so ein laienhafter "Test" besser ist als alles, was BSI, CERT und andere Institute getan haben, bevor sie ihre Warnung herausgegeben haben?
Mach mal halblang. 😉

Hier wurden schwere Fehler gemacht, aber nicht bei Computerbase, Stern und zig anderen Redaktionen.

Wenn Behörden und namenhafte, auf Softwaresicherheit spezialisierte Institute gemeinsam eine kritische Sicherheitswarnung herausgeben, dann ist es völlig legitim, der erstmal zu vertrauen und darüber zu berichten. Um so schlimmer ist es, wenn es sich dann doch als falsch herausstellt.
Aus solchen Fehlern müssen die Verantwortlichen lernen und es in Zukfunt besser machen.

Trotzdem gilt, besser einmal zu viel gewarnt als zu wenig. (Das schreibe ich als zufriedener VLC-Nutzer.)

Ehrlich gesagt, beunruhigt mich vor allem der "Fake-News"-Shitstorm, den die VLC-Entwickler und einzelne Websites jetzt heraufbeschwören. Wird sicher lustig, wenn die aufgebrachten Massen das nächste mal offizielle Sicherheistwarnungen als "Fake News" abtun und einfach ignorieren...
 
  • Gefällt mir
Reaktionen: L34tSp34k
Wenn man nicht mit dem Updaten nach kommt und noch bei Version 2 ist, sollte man sich vielleicht überlegen mehr Programme aus dem Store zu beziehen oder sich vielleicht mit chocolately auseinander setzen.
 
  • Gefällt mir
Reaktionen: new Account()
Herdware schrieb:
Seiten wie Golem, die einfach nur ausprobiert haben ob VLC mit der bereitgestellten Datei abschmiert oder nicht.
Was sagt das aus? Wie soll das mit Sicherheit beweisen, dass da keine Sicherheitslücke ist? Warum soll man davon ausgehen, dass so ein laienhafter "Test" besser ist als alles, was BSI, CERT und andere Institute getan haben, bevor sie ihre Warnung herausgegeben haben?
Mach mal halblang. 😉

Hier wurden schwere Fehler gemacht, aber nicht bei Computerbase, Stern und zig anderen Redaktionen.

Wenn Behörden und namenhafte, auf Softwaresicherheit spezialisierte Institute gemeinsam eine kritische Sicherheitswarnung herausgeben, dann ist es völlig legitim, der erstmal zu vertrauen und darüber zu berichten. Um so schlimmer ist es, wenn es sich dann doch als falsch herausstellt.
Aus solchen Fehlern müssen die Verantwortlichen lernen und es in Zukfunt besser machen.
Zum Vergrößern anklicken....

Sei mir nicht bös, aber die haben wenigstens versucht den Fehler bzw. die Situation nachzustellen.

Und Meldungen von Behörden, gerade vom BSI würde ich mit äußerster Vorsicht genießen.
 
  • Gefällt mir
Reaktionen: new Account()
Heise geht übrigens auch selbstkritisch mit der Situation um:
Auf jeden Fall wäre auf Seiten der Medienvertreter einer Überprüfung des im Bug-Tickets verlinkten Proof-of-Concept-Codes (PoC) oder wenigstens eine Nachfrage bei den VLC-Entwicklern ratsam gewesen – das gilt auch für unsere Berichterstattung bei heise online.
Zum Vergrößern anklicken....
https://www.heise.de/security/meldu...e-News-4478560.html?wt_mc=rss.ho.beitrag.atom

Bei CB ist man sich natürlich keiner Fehler bewusst. :freak:
 
  • Gefällt mir
Reaktionen: gesperrter_User
Rolf_1985 schrieb:
Und Meldungen von Behörden, gerade vom BSI würde ich mit äußerster Vorsicht genießen.
Zum Vergrößern anklicken....

Ich bin ja auch kein Fan von Behörden, die oft zu Intransparenz ud Ineffizienz neigen können. Aber das BSI hat über 940 Mitarbeiter, und selbst wenn man annimmt, dass 2/3 davon nur Verwaltungsarbeit machen, dann sind das wohl immer noch ca. 300 IT-Experten mehr, die sich vollzeit mit Sicherheitslücken und Co. beschäftigen, als eine Redaktion einer IT-Website wie Computerbase oder Golem aufbringen kann.
Von CERT, NIST und Co. ganz zu schweigen, die die Warnung ja auch herausgegeben haben.

Ist ja nett, wenn einige IT-Journalisten trotzdem etwas selbst herumprobieren. Aber zu mehr, als einem ergänzendem Absatz wie: "Wir konnten mit unseren begrenzten Mitteln die Sicherheitslücke selbst nicht nachvollziehen. Eine Stellungnahme der Entwickler steht noch aus." reicht das dann auch nicht.
Und was nützt so eine Aussage den Lesern/Anwendern? Die offizielle Sicherheitswarnung sollte man deshalb trotzdem ernst nehmen. Besonders, wenn es nicht nur um das Privatvergnügen geht, sondern man z.B. für die IT-Sicherheit in einem Unternehmen verantwortlich ist.

Für die VLC-Macher ist die Falschmeldung natürlich bitter und ich kann ihren Frust verstehen. Aber den sollten sie halt nicht an den IT-Journalisten auslassen, die nur ihren Job gemacht haben. Und genausowenig sollte man deshalb grundsätzlich alle offiziellen Warnungen von Behörden oder wissenschaftlichen Instituten in den Wind schlagen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hayda Ministral
Herdware schrieb:
die sich vollzeit mit Sicherheitslücken und Co. beschäftigen, als eine Redaktion einer IT-Website wie Computerbase oder Golem aufbringen kann.
Zum Vergrößern anklicken....
Sicherheitslücken suchen ist auch arbeitstechnisch eine ganz andere Dimension als Sicherheitslücken zu verifizieren...
 
new Account() schrieb:
Sicherheitslücken suchen ist auch arbeitstechnisch eine ganz andere Dimension als Sicherheitslücken zu verifizieren...
Zum Vergrößern anklicken....

Stimmt. Wobei es wiederum wesentlich einfacher ist, eine vorhandene Sicherheitslücke zu bestätigen, als den stichfesten Beweis zu liefern, dass eine angebliche Lücke nicht existiert oder weniger kritisch ist als angenommen.

Ich glaube kein halbwegs seriöser IT-Journalist würde sich trauen, eine offizielle Warnmeldung mehrer Institute (wobei ich nicht ausschließen will, dass die wiederum nur voneinander "abgeschrieben" haben) einfach so komplett abzutun, nur weil er selbst die vermeintliche Lücke nicht nachvollziehen konnte.
Wie gesagt, mehr als eine ergänzende Stellungnahme käme da auch nicht bei rum.
 
Ich rekapituliere mal.
Jemand findet einen Bug, aber:

Fail 1
er testet auf einer veralteten Version und erwähnt das erst später auf Nachfrage

Fail 2
er erwähnt nicht, dass es eine bestimmte Lib des Programms betrifft

Fail 3
er meldet das nicht per security@ mail, sondern postet das Ding auf nem öffentlich einsehbaren Bugtracker(!) und macht nen geschmeidigen 0-Day öffentlich(!!!), weil..... na weil halt

Fail 4
VLC kann das ding nicht reproen aber sagt das Wochenlang nicht und der Bug schimmelt lustig im Tracker vor sich hin

Fail 5
Nist und co. übernehmen einfach den Bug ohne selbst zu checken, dies führt zu:

Fail 6
der Bug wird, obwohl der PoC nur nen Absturz verursacht gleich mal mit 9.8 bewertet als RCE Lücke

Fail 7
auch hier wird die Versionnummer falsch angegeben und die Lib nicht erwähnt

Fail 8
Journalisten sehen einen CVE Eintrag, mit einem seit 4 Wochen öffentlichen, vermeintlichen Exploit einer sehr häufig von Endusern genutzten Software und wollen ihre User warnen, vertrauen dabei darauf, dass da Sicherheitsspezis mehr Wissen haben als sie selbst

Fail 9
User beschweren sich über die Berichterstattung zu einer Lücke, obwohl jeder in der Kette darüber das Ding wie ein rothaariges Stiefkind behandelt hat

Fail 10
User vermuten die Weltverschwörung des BSI und Nist um VLC zu schaden weil.....
weil.....
keine Ahnung, da ist mein Hirn ausgestiegen.......


Hab ich was vergessen?
 
  • Gefällt mir
Reaktionen: Hayda Ministral
Herdware schrieb:
Stimmt. Wobei es wiederum wesentlich einfacher ist, eine vorhandene Sicherheitslücke zu bestätigen, als den stichfesten Beweis zu liefern, dass eine angebliche Lücke nicht existiert oder weniger kritisch ist als angenommen.

Ich glaube kein halbwegs seriöser IT-Journalist würde sich trauen, eine offizielle Warnmeldung mehrer Institute (wobei ich nicht ausschließen will, dass die wiederum nur voneinander "abgeschrieben" haben) einfach so komplett abzutun, nur weil er selbst die vermeintliche Lücke nicht nachvollziehen konnte.
Wie gesagt, mehr als eine ergänzende Stellungnahme käme da auch nicht bei rum.
Zum Vergrößern anklicken....
Wenn man eine Lücke nicht reproduzieren kann, dann wird man das als Journalist wohl noch schreiben dürfen. Es geht doch darum, dem Leser möglichst viele Erkenntnisse zu geben. Oder entscheiden die Behörden für alle Nutzer, was diese gefälligst zu tun haben?
Das BSI hat übrigens mehr oder weniger abgeschrieben. Ich sehe jedenfalls keinen Anhaltspunkt, warum das nicht so sein sollte. Überprüft haben sie es offensichtlich nicht.
 
  • Gefällt mir
Reaktionen: gesperrter_User und new Account()
Zero_Point schrieb:
Wenn man eine Lücke nicht reproduzieren kann, dann wird man das als Journalist wohl noch schreiben dürfen.
Zum Vergrößern anklicken....

Sicher. Nur hätte es den VLC-Nutzern und -Entwicklern wenig geholfen.
Die offizielle Empfehlung von BSI und Co., bis auf weiteres VLC nicht zu nutzen und gegebenenfalls auf Alternativen zu wechseln, wäre trotz Kommentar bestehen geblieben und es wäre fahrlässig gewesen, über die Warnung erst gar nicht zu berichten.
 
Herdware schrieb:
Hat Computerbase diese Möglichkeit?
Zum Vergrößern anklicken....
Herdware schrieb:
Seiten wie Golem, die einfach nur ausprobiert haben ob VLC mit der bereitgestellten Datei abschmiert oder nicht.
Was sagt das aus? Wie soll das mit Sicherheit beweisen, dass da keine Sicherheitslücke ist?
Zum Vergrößern anklicken....
Das Problem nachzustellen, d.h. auf einem Testsystem die neuste Version von VLC zu installieren und gucken, ob sie beim Abspielen der Datei abstürzt, wäre ja wohl das allermindeste.

Die vorhandenen Informationen zur Art der Sicherheitslücke hätten zudem jedem, der etwas von Softwareentwicklung versteht, ermöglicht, VLC in einem Debugger zu starten und zu sehen, ob es tatsächlich zu einem Speicherüberlauf kommt.
 
  • Gefällt mir
Reaktionen: Zero_Point
chithanh schrieb:
Die vorhandenen Informationen zur Art der Sicherheitslücke hätten zudem jedem, der etwas von Softwareentwicklung versteht, ermöglicht, VLC in einem Debugger zu starten und zu sehen, ob es tatsächlich zu einem Speicherüberlauf kommt.
Zum Vergrößern anklicken....

Und was dann?
Überhaupt nicht über die Warnmeldung berichten, weil man selbst die Sicherheitslücke nicht nachvollziehen konnte? Oder gar aktiv Entwarnung geben?
Wohl eher nicht. Es würde wohl keiner auf sich nehmen, ausgewiesenen Sicherheitsexperten zu widersprechen. Man könnte leicht selbst einen Fehler gemacht haben oder die Rahmenbedingugnen sind andere usw.

Mehr als ein ergänzender Kommentar kommt nicht dabei heraus und die Warnung und Empfehlung VLC zu vermeiden bleibt grundsätzlich bestehen. Das hätte wie gesagt weder den Nutzern noch den Machern von VLC wesentlich weitergeholfen.

Warum also die große Aufregung?
 
Herdware schrieb:
Überhaupt nicht über die Warnmeldung berichten, weil man selbst die Sicherheitslücke nicht nachvollziehen konnte? Oder gar aktiv Entwarnung geben?
Zum Vergrößern anklicken....
Schreiben, dass das Problem in der Redaktion ebenso wie bei den VLC-Entwicklern nicht reproduziert werden konnte. Dass die Meldung also nicht unbedingt alle Anwender betrifft, bzw. anscheinend zusätzliche Voraussetzungen vorliegen müssen, damit man angreifbar ist. Dass diese aber nicht in der Warnung des BSI beschrieben sind, diese also fragwürdig, zumindest jedoch unvollständig ist.
 
  • Gefällt mir
Reaktionen: new Account() und Zero_Point
Da der Fehler in einer veralteten libebml library zu finden ist, würde mich interessieren welche programme diese Lib noch benutzen. Es wurde ja geraten einen anderen Player als den VLC zu benutzen ;-)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
VLC Player Sicherheitslücke 2019
Antworten
4
Aufrufe
948
Yuuri
Yuuri
Volker
News QuickTime und VLC Media Player: Sicherheitslücken (U)
2
Antworten
21
Aufrufe
4.003
merlinsteffen
merlinsteffen
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz