ComputerBase Menü
Aktuelles

News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

Die aktuelle 4er Beta ist auch betroffen, oder ? Hab ich neben 3-4 anderen Spezialplayern
nämlich noch auf Win10 installiert...
 
q3fuba schrieb:
Wer nutzt eigentlich noch den VLC?
  1. Die Oberfläche ist grauenhaft!
  2. Die Einstellungen sind mehr als dürftig
  3. Plugins sind outdate wenn es denn überhaupt welche gibt die "nützlich" sind!
  4. usw..
Vor allem da es es genug bessere alternativen gibt wie z.B
  • PotPlayer (mein Favorit)
  • Media Player Classic
  • mpv
um nur einige zu nennen, aber im grunde sind alle "besser" als der VLC seit längerm.

hier noch noch Liste mit mehr alternativen, da findet sich sicher besseres als den VLC:
https://www.videohelp.com/software/sections/video-players?orderby=Rating
Zum Vergrößern anklicken....

Ich nutze sehr gerne den VLC-Player.
Funktioniert schließlich einwandfrei und völlig problemlos.
Wieso sollte ich dann wechseln?

Schönen Favorit hast du.
Dann schätze dich glücklich und gut ist.
 
q3fuba schrieb:
Wer nutzt eigentlich noch den VLC?
Zum Vergrößern anklicken....
Ich.
Warum?
Weil er wunderbar funktioniert und alles abspielt, was bei mir mal anfällt.
Da ich mich mehr auf den Inhalt des Videos konzentriere als auf das Design, ist mir das recht wumpe.
Gibt für mich daher keinen Grund ihn zu tauschen.
 
  • Gefällt mir
Reaktionen: Hayda Ministral, knorki und piepenkorn
q3fuba schrieb:
Wer nutzt eigentlich noch den VLC?
  1. Die Oberfläche ist grauenhaft!
  2. Die Einstellungen sind mehr als dürftig
  3. Plugins sind outdate wenn es denn überhaupt welche gibt die "nützlich" sind!
  4. usw..
Vor allem da es es genug bessere alternativen gibt wie z.B
  • PotPlayer (mein Favorit)
  • Media Player Classic
  • mpv
um nur einige zu nennen, aber im grunde sind alle "besser" als der VLC seit längerm.

hier noch noch Liste mit mehr alternativen, da findet sich sicher besseres als den VLC:
https://www.videohelp.com/software/sections/video-players?orderby=Rating
Zum Vergrößern anklicken....
Es ist völlig unerheblich was man benutzt. Die Software soll zB einen Film abspielen. Der Film hat Prio nicht die Software mit der ich den abspiele. Es ist auch völlig unerheblich für den 0815 welches Bsys er verwendet um zB Photoshop, einen Browser oder einen Mailclient zu öffnen.

Mein C64/128 ist auch alt und völlig überholt. Wer benutzt bitte noch einen C64? Ich. Who cares.
 
  • Gefällt mir
Reaktionen: knorki und piepenkorn
Aus reinem Interesse: Der originale "Media Player Classic - Home Cinema" stammt aus dem Jahr 2017 (https://mpc-hc.org/ oder auch https://github.com/mpc-hc/mpc-hc). Dann wurde hier auf eine Neuentwicklung/Weiterentwicklung verlinkt unter https://github.com/clsid2/mpc-hc/releases . Mit dem Begriff "Fork" kann ich nun nicht viel anfangen. Ist das ein Fan-Projekt, etwas offizielles oder wer steckt dahinter? Austesten würde ich diesen schon gerne mal aber ich habe es so ungerne mir etwas aus einer "von irgendwoher"-Quelle zu laden und dann weder HASH noch sonst etwas zu haben. Es scheint auch keine richtige Seite mit Screenshots zu geben!?
 
Zero_Point schrieb:
Schließlich soll der Leser nicht selbst entscheiden, denn der Autor entscheidet darüber, wie es der Leser einzuschätzen und damit umzugehen hat.
Zum Vergrößern anklicken....
Du verwechselst hier eindeutig News mit Meinungsmache/Meinungsblog wie es heute üblich ist. Aber News sollen dir die Fakten liefern und dich informieren und die keine Meinung servieren. Dafür gibt es Kommentatoren zu diesen Angelegenheiten.

@RYZ3N ist nunmal nicht hier um den Leuten eine Meinung zu servieren, die sie dann übernehmen sollen. CB ist kein Meinungsblog.
 
solange der Bug nur via manipulierter.mkv File funktioniert finde ich den nicht sonderlich kritisch. Ich klicke nämlich nicht wahllos alles an, was unter meinen Mauszeiger gerät.

Unschön ist solch eine Lücke natürlich trotzdem. Die wird hoffentlich bald gefixt.

Und wer aus welchem Grund auch immer wechseln will: bitte, soll er tun, es gibt genug Player, die gut sind. Ich perönlich bleibe aber beim VLC, ich bin da Gewohnheitstier und habe keine Lust auf einen Player mit anderer Oberfläche oder anderem Abspielverhalten.
 
  • Gefällt mir
Reaktionen: piepenkorn
Sondert das BSI/CERT-Bund eigentlich zu jeder Sicherheitslücke in irgendeiner Software die Meldung ab, dass man sich nach einer Alternative umsehen sollte? Demnach müssten sie ja wöchentlich vor MS Office und MS Windows warnen, und zu Alternativen raten. Mein Firmenrechner wird spätestens nach 3 Tagen mit mit MS Sicherheitsupdates malträtiert.
Oder warum sollte ein Fix von VLC nicht ausreichend sein?
 
  • Gefällt mir
Reaktionen: gustlegga und HaZweiOh
Jesterfox schrieb:
So von außen: gar nicht. Man müsste genau wissen was den Fehler verursacht und dann im Inhalt gezielt nach diesem Muster scannen.
Zum Vergrößern anklicken....

Genau das meine ich, es müsste im Grunde in die Virenscanner implementiert werden, es ist Schadcode der zwar nicht direkt wie eine exe ausgeführt wird aber indirekt und so eine Kompromittierung ermöglicht. Insofern sollten auch diese Datentypen gecannt werden.
Zudem spielt auch das OS eine Rolle, FreeBSD hat beispielsweise einen Heap-Schutz und Überläufe sind dort nicht möglich. Schade das andere OS die Programme nicht auch stärker einkapseln.
 
Gullwoop schrieb:
Dann wurde hier auf eine Neuentwicklung/Weiterentwicklung verlinkt unter https://github.com/clsid2/mpc-hc/releases . Mit dem Begriff "Fork" kann ich nun nicht viel anfangen. Ist das ein Fan-Projekt, etwas offizielles oder wer steckt dahinter?
Zum Vergrößern anklicken....

Screenshots hab ich jetzt keine. Aber der MPC-HC ist damals eingestellt worden, weil fast alle Entwickler
keine Lust/Zeit mehr an der Weiterentwicklung hatten. Die 1.8.7 Entwicklung kommt aber aus den Händen eines
der alten "Original" MPC HC-Entwickler. Wenn du so willst, also eigentlich auch "offiziell". Wenn dich das
beruhigen sollte. Die Software ist eh Open-Source. Wenn da was geändert, erneuert wird dann sind es meist eh die
(Abspiel)-Filter der Video/Audio Codecs, die ständig im Wandel sind. Deswegen ist derjenige da wohl auch
noch mal rangegangen.
 
Ich finde es ja lustig und erbaermlich gleichzeitig, wie alle rummeckern und sofort auf was anderes umsteigen wollen. Wenn man das mal bei Windows so machen wuerde :rolleyes: Machen aber warscheinlich nur die wenigstens.
Abgesehen davon wird hier wohl niemand davon betroffen sein, und falls doch, dann halt weniger von Tauschboersen ziehen.
 
  • Gefällt mir
Reaktionen: HaZweiOh, piepenkorn und knorki
Gullwoop schrieb:
Aus reinem Interesse: Der originale "Media Player Classic - Home Cinema" stammt aus dem Jahr 2017 (https://mpc-hc.org/ oder auch https://github.com/mpc-hc/mpc-hc). Dann wurde hier auf eine Neuentwicklung/Weiterentwicklung verlinkt unter https://github.com/clsid2/mpc-hc/releases . Mit dem Begriff "Fork" kann ich nun nicht viel anfangen. Ist das ein Fan-Projekt, etwas offizielles oder wer steckt dahinter? Austesten würde ich diesen schon gerne mal aber ich habe es so ungerne mir etwas aus einer "von irgendwoher"-Quelle zu laden und dann weder HASH noch sonst etwas zu haben. Es scheint auch keine richtige Seite mit Screenshots zu geben!?
Zum Vergrößern anklicken....

Ich habe es bereits Seiten zuvor geschrieben mit der Verlinkung was ein Fork ist.

Gamefaq schrieb:
Doch ein anderer Entwickler namens clsid2 hat schon vor geraumer Zeit das Projekt "inoffiziell" übernommen weil der Original Entwickler nichts mehr macht. Inoffiziell deswegen weil er einen sogenannten Fork erstellt hat. Sprich es basiert auf der letzten offiziellen v1.7.13 und ist mittlerweile bei v1.8.7 angekommen. Das letzte Update ist 3 Tage alt. Download hier.
Ich würde Computerbase empfehlen das in seine Download Datenbank zu übernehmen da es gegenüber dem alten mpc-hc weiterhin gepflegt wird. (Stichwort: Sicherheit...)
Zum Vergrößern anklicken....

Eine Offizielle Übername eines Open Source Projektes wie MPC-HC gibt es nicht wenn der Original Entwickler von heute auf morgen nichts mehr macht und auch nicht mehr auf Community anfragen reagiert. In dem Fall wird von dem Original Projekt auf Github ein Fork erstellt. Ein Fork ist eine Digitale Kopie des Originalen Quellcodes. Da GitHub (<-Klick für Detaillierte Erklärung was das ist!) eine Online Entwickler Plattform ist damit man alleine aber mit auch mit anderen Entwicklern simultan an einem Software Projekt arbeiten kann OHNE das man das in einem Bürogebäudekomplex in einer Firma geschweige denn im gleichen Land sich befinden muss. Durch den Fork = Kopie des Quellcodes kann nun der/die andere/neue Entwickler ohne das das Original Projekt "programmiertechnisch" zerstört wird an der Fortführung des ursprünglichen Projektes arbeiten. Sprich der Fork ist eine Kopie des Orginals die weiter Entwickelt , Fehler bereinigt bzw. aktuell gehalten wird. Dies passiert bei MPC-HC bereits seit Jahren. Da der neue Entwickler keinen Zugriff auf die MPC-HC Webseite des Ursprünglichen Entwicklers hat, ist natürlich dort immer noch die Jahre alte Version als aktuelle angegeben.

Ein anderes SEHR prominentes Beispiel für einen Fork ist die ehemalige Open Source Software OpenOffice aus der LibreOffice wurde. Dabei haben die Programmierer als Protest nachdem die Firma Oracle OpenOffice aufgekauft hat sofort bei GitHub einen Fork erstellt und unter dem Namen LibreOffice bis heute weiter entwickelt.

Daher nochmals auch wenn die ursprüngliche MPC-HC Webseite sagt 1.7.13 von 2017 sei die aktuellste Version, so ist sie es nicht. Erstellt euch einen Bookmark von https://github.com/clsid2/mpc-hc/releases. Ladet dort die neuste und wenn es updates für die neuen Version gibt so wird euch die neue MPC-HC Version auch selbständig (beim starten des Programms) informieren das ihr dort eine neue Version herunterladen könnt. Als Alternative hoffe ich das Computerbase diesen Fork als Aktuelle Version (mit verweis auf die Originale aber veraltete Version) in seinem DL Bereich übernimmt. Damit diese Diskussion was denn offiziell , legal , rechtmäßig oder es denn auch (weil viele mit github.com nichts anfangen können...) viren frei sei beendet wird.
 
  • Gefällt mir
Reaktionen: BrollyLSSJ und Neronomicon
FreddyMercury schrieb:
Ich finde es ja lustig und erbaermlich gleichzeitig, wie alle rummeckern und sofort auf was anderes umsteigen wollen. Wenn man das mal bei Windows so machen wuerde :rolleyes:
Zum Vergrößern anklicken....

Jo, ich wäre vielleicht nie gewechselt und das aber nur aus Gewohnheit. Jetzt nutze ich halt SMPlayer der sich praktisch genauso einstellen lässt wie VLC und dazu noch schneller ist.

Man sollte auch mal offen für etwas Neues sein.
 
FreddyMercury schrieb:
Ich finde es ja lustig und erbaermlich gleichzeitig, wie alle rummeckern und sofort auf was anderes umsteigen wollen. Wenn man das mal bei Windows so machen wuerde :rolleyes:
Zum Vergrößern anklicken....

Sehr unpassender Vergleich da du Windows eben nicht mit einem anderen OS ersetzen kann und zu 100% die gleiche Funktionalität sowie wesentlich wichtiger Kompatibilität bekommst. :rolleyes:

FreddyMercury schrieb:
Machen aber warscheinlich nur die wenigstens.
Abgesehen davon wird hier wohl niemand davon betroffen sein, und falls doch, dann halt weniger von Tauschboersen ziehen.
Zum Vergrößern anklicken....

Schau mal über deinen Tellerrand...

Du musst die Daten doch nicht mal selber laden. Wie oft bekommt man von Freunden/Kollegen zuhause wie unterwegs Mediendateien geteilt!? Sprich du kannst hier nicht sagen jaaa mommmeeeent derjenige muss aber erstmal eine versuchte Datei herunterladen und ist dann selber schuld...ne er muss es nicht mal selber tun. Es reicht das diese jemand bekanntes dem du eigentlich vertraust dir das berühmte lustige Katzen-video teilen will. Egal ob per WhatsApp, Cloud Verlinkung oder zuhause per USB-Stick/Festplatte. Und schwupp ist wegen einer eigentlich harmlosen Video Datei dein Rechner infiziert...wenn ich da an die Millionen Firmen Rechner auf denen "nur" die Portable Version von VLC läuft denke, da wird mir schlecht...da obwohl VLC nicht installiert ist , diese aber den Rechner über das (für sich alleine harmlose) Video verseuchen kann. Ein Albtraum für alle System Admins...
 
Cooder schrieb:
MPC-HC wird weiter entwickelt. Oder schau dir alternativ mal MPC-BE an.
Zum Vergrößern anklicken....
Wann hatten die (speziell MPC-BE) einen Audit und durch wen? @scryed
MPC-HC hat ein update das jünger als 1 Jahr ist, weil wieder jemand mitmacht der C++ kann?

Der aktuelle Audit von VLC macht es doch bald recht vertrauenwürdig (vgl. #70)

cbolaf schrieb:
Sondert das BSI/CERT-Bund eigentlich zu jeder Sicherheitslücke in irgendeiner Software die Meldung ab, dass man sich nach einer Alternative umsehen sollte? Demnach müssten sie ja wöchentlich vor MS Office und MS Windows warnen, und zu Alternativen raten.
Zum Vergrößern anklicken....
Wo steht denn die Aufforderung Alternativen zu benutzen beim BSI/Cert? Ist das nur die Meinung auf Computerbase?
 
Zuletzt bearbeitet:
T_55 schrieb:
Genau das meine ich, es müsste im Grunde in die Virenscanner implementiert werden, es ist Schadcode der zwar nicht direkt wie eine exe ausgeführt wird aber indirekt und so eine Kompromittierung ermöglicht. Insofern sollten auch diese Datentypen gecannt werden.
Zum Vergrößern anklicken....

Also Virenscanner-Hersteller haben in Vergangenheit schon extreme Inkompetenz bewießen. Aber so dämlich zu erwarten, dass ein Virus grundsätzlich '*.exe' genannt werden muss, ist dann doch niemand. Hoffe ich zumindest ;).

T_55 schrieb:
Zudem spielt auch das OS eine Rolle, FreeBSD hat beispielsweise einen Heap-Schutz und Überläufe sind dort nicht möglich.
Zum Vergrößern anklicken....

Wer hat denn das behauptet?

Mal kurz erklärt: Heap, das ist einfach Speicher, den sich eine Software zur freien Verwendung reservieren kann.
Jetzt stelle dir vor, dein Speicher sieht so aus:

_ _ _ _ _ *

Wobei jedes _ Information über einen Pixel speichern kann. In * ist aber etwas ganz anderes gespeichert - z.B. die Lautstärke.

Jetzt komme ich als Film daher, und speichere einen roten Pixel. dann einen grünen, einen blauen, einen blauen, einen roten Pixel. Unser Speicher sieht nun so aus:

r g b b r *

Jetzt wird die Software böse und versucht - obwohl der Speicher voll ist - noch einen gründen Pixel zu speichern. Unsere Software prüft nicht korrekt, dass der Speicher voll ist. Und was erhalten wir:

r g b b r g

Wir haben erfolgreich die Lautstärke mit 'g' überschrieben.

Das OS kann solche Überläufe nicht verhindern. Wie denn auch? Woher soll das Betriebssytem wissen, dass die Software einen Pixel dahin schreiben will, wo eigentlich nur die Lautstärke gespeichert werden darf?

Natürlich gibt es Schutzmaßnahmen. Dabei geht es aber nicht darum, Überläufe zu verhindern (denn das sind Programmierfehler) - sondern zu verhindern, dass böse Sachen mit diesen Überläufen gemacht werden kann.

Beispiel: Kannst die Reihenfolge, in der du Informationen speicherst, randomisieren. Jetzt gerade steht nach den 5 Pixeln die Lautstärke. Bei der nächsten Programmausführung aber z.B. Text vom Untertitel. Dadurch weiß der Angreifer nicht im Vorraus, was er da überschreibt.

Oder kannst den heap als "nicht ausführbar" markieren und somit verhindern, dass der Angreifer direkt Schadcode, den er auf den Heap geschrieben hat, ausführen kann.

Oder du führst verschiedene Checks aus, um Überläufe zu erkennen. Das musst dann aber in der Software selber machen (auch wenn das Betriebssystem im Falle FreeBsd oder Linux doch einen Unterschied macht, da du z.B. der VLC direkt vom Betriebssytem bereit gestellt wird).

Jedenfalls: Diese Vorkehrungen sind in modernen Betriebssytemen unterschiedlich ausgeprägt implementiert (nicht nur im FreeBSD). All diese Vorkehrungen machen das Leben der Angreifern schwer. Aber einen 100% Schutz liefert das alles nicht.
 
  • Gefällt mir
Reaktionen: Kdax
Discovery_1 schrieb:
Ich nutze seit längerem u. a. wegen seiner tollen Zoomfunktionen für Videos nur noch den SMPlayer. VLC nur noch für Audio.
Zum Vergrößern anklicken....

Der VLC Player ist längst nicht mehr das was es mal war!

Bugfixes werden trotz Ticket nur zögerlich (nach Monaten) und zumeist nie behoben. Es fehlen immer noch wichtige Funktionen und bei neuen Versionen kommen neue Probleme dazu.

Zum Glück gibt es den SM-Player :)
Ergänzung ()

Rasenball schrieb:
Ich bin jetzt von VLC auf SMPlayer umgestiegen.

https://www.chip.de/downloads/SMPlayer_28265879.html

SMPLayer kann eigentlich alles was VLC auch kann und die Performance des SMPlayer ist gefühlt auch besser.

Videos starten z.B. nach dem Anklicken irgendwie schneller als bei VLC.
Zum Vergrößern anklicken....

Nicht nur gefühlt. Es ist deeeeeutlich schneller und auch die HW-Acceleration funktioniert vernünftigt.

Bei VLC ist das seit Jahren ein Problem, das nie richtig behoben wurde!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Discovery_1 und Blueeye_x
Zero_Point schrieb:
Wenn du ein PowerDVD Abo abschließt, bist du selbst schuld
Zum Vergrößern anklicken....
Ähm... deswegen schreib ich ja, dass PowerDVD Müll ist.

Zero_Point schrieb:
Wenn du schlau bist, kaufst du dir die normale Version ohne Abo und nutzt diese jahrelang.
Zum Vergrößern anklicken....
Wenn man schlau ist, kauft man gar kein PowerDVD. Gerade bei dem Datenschrott, dem man sich auf die Festplatte kopiert (das Ding wiegt fast 400 MB. 400 MB! Wofür eigentlich?), kann man in die Gefahr laufen, dass das nächste Windows Update die Kompatibilität zerschießt, wenn man eine alte Version einsetzt.

Zero_Point schrieb:
Beim roten Fuchs durftest du vor ein paar Jahren hingegen deine teure Lizenz neu kaufen, als Slysoft das Teil abgestoßen hat.
Zum Vergrößern anklicken....
Du redest davon, dass Slysoft zerschlagen wurde? Das ist nun über 4 Jahre schon her und daraus ging Redfox hervor, damit es weiter geht. Ein Prozess, der weder von den Usern, noch den Entwicklern vorherzusehen war. Seitdem rennt die Lifetime Lizenz ohne Probleme und "Erneuerung".

Zero_Point schrieb:
Nebenbei bietet PowerDVD noch Funktionen, die du beim VLC nicht findest. Beispielsweise kann die Bildqualität von DVDs verbessert werden.
Zum Vergrößern anklicken....
Du meinst eher: Bildverschlechterungsmaßnahmen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
VLC Player Sicherheitslücke 2019
Antworten
4
Aufrufe
949
Yuuri
Yuuri
Volker
News QuickTime und VLC Media Player: Sicherheitslücken (U)
2
Antworten
21
Aufrufe
4.007
merlinsteffen
merlinsteffen
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz