News VLC Media Player: Sicherheitslücke betrifft nur veraltete Versionen

[MechanimaL]

Gibt es eine Möglichkeit "infizierte" Dateien mit einem AV Programm ausfindig zu machen? Wahrscheinlich nicht oder?

 

[andr_gin]

An dieser Stelle ein wichtiger Hinweis:
Sobald ein Update verfügbar ist ladet das nur von der offiziellen Seite www.videolan.org bzw. aus dem computerbase Downloadarchiv herunter und NICHT von der Seite www.vlc.de

 

[knorki]

Zum Glück gibt es den SM-Player

Was macht der genau besser? basieren tut dieser auf MPlayer, der nun auch alles andere als für einen zügigen Releasezeitraum bekannt ist. Anfang diesen Jahres musste man sich im Blog sogar mit "MPlayer is not dead yet!" zu Wort melden, weil seit 2017 nichts mehr kam. Und auch davor reden wir von 2-3 Versionen pro Jahr.

 

[catch 22]

.... Ein Albtraum für alle System Admins...

Nö, da man lediglich eine Gruppenrichtlinie setzen muss, die das ausführen von VLC verbietet. Der Ein-Zeiler ist fix erstellt und wird mit der nächsten Netzwerk-Anmeldung an Windows ausgeführt. Spätestens wenn der Rechner sich das nächste mal über VPN mit dem Firmennetzwerk verbindet, entsprechendes Deployment Tools vorausgesetzt.

Danach schickt die IT eine Rund-Mail raus, die die Leute darüber informiert. Dann erst macht sich der Admin / das Admin Team in aller Ruhe Gedanken darüber, wie das weitere Vorgehen aussehen soll.

Absoluter stressfreier Vorgang, der keine 5 Minuten Aufwand erfordert.

 

[Reowulf]

BSI

 

[mgutt]

Ach so, ok. Hab es dann wohl missverstanden. Dachte, man wäre schon angreifbar beim Abspielen von normalen Videodateien, z.B. ein gespeichertes YouTube Video.

Reine Theorie, aber wenn jetzt jemand convert2mp3 (Huch, vorgestern dicht gemacht?!) hackt und jedes Videos was du mit diesem Tool herunterlädst entsprechend modifiziert, dann wärst du auch betroffen. Allerdings nur solange du VLC zum Abspielen nutzt. Du könntest ja für die paar Tage "öffnen mit" anderem Player nutzen bis die Lücke geschlossen ist und das Thema wäre erledigt.

 

[Zero_Point]

Ähm... deswegen schreib ich ja, dass PowerDVD Müll ist.

???

Wenn man schlau ist, kauft man gar kein PowerDVD. Gerade bei dem Datenschrott, dem man sich auf die Festplatte kopiert (das Ding wiegt fast 400 MB. 400 MB! Wofür eigentlich?), kann man in die Gefahr laufen, dass das nächste Windows Update die Kompatibilität zerschießt, wenn man eine alte Version einsetzt.

Wenn du ein OS einsetzt, das dir mit jedem Update Kompatibilitäten zerschießt, solltest du dir Gedanken darüber machen, ob dieses OS wirklich sinnvoll ist.

Du meinst eher: Bildverschlechterungsmaßnahmen.

Vergleiche eine DVD auf PowerDVD und dann auf VLC. Und dann sag mir, welches die bessere Qualität liefert. VLC wird es garantiert nicht sein.

Ergänzung (21. Juli 2019)

Du verwechselst hier eindeutig News mit Meinungsmache/Meinungsblog wie es heute üblich ist. Aber News sollen dir die Fakten liefern und dich informieren und die keine Meinung servieren. Dafür gibt es Kommentatoren zu diesen Angelegenheiten.

@RYZ3N ist nunmal nicht hier um den Leuten eine Meinung zu servieren, die sie dann übernehmen sollen. CB ist kein Meinungsblog.

Die angehängte MP4 ist also kein Fakt? Da fragt sich doch glatt, warum es heute aus heiterem Himmel ein Update gab, nachdem er sich gestern noch vehement gegen diese Info gewehrt hat.
Diese Info hat auch nichts mit Meinungsmache zu tun. Übrigens gibt es hier mehr als genug Meinungsmache. Musst dir nur entsprechende Artikel und Tests ansehen. Demnach ist das hier ein Meinungsblog.
Und nochmal, niemand soll hier eine Meinung servieren, es geht um alle bekannten Infos und Fakten. Die haben gefehlt. Da wäre keine News die bessere Option gewesen. Du siehst doch die allgemeine Meinung zu dem Thema. Eindeutiger könnte es nicht sein. Deshalb wohl auch die notgedrungene Aktualisierung.

 

[Morku]

???

Sonst ist PowerDVD (und WinDVD?) der einzige, offizielle Weg um kopiergeschützte Blu-rays samt Menü abzuspielen. Jeder, der die Player kennt weiß, dass dies träge Bloatscheiße ist, die man nicht auf dem Rechner haben möchte und sich auch nicht restefrei deinstallieren lässt.

Nicht eindeutig genug?

Wenn du ein OS einsetzt, das dir mit jedem Update Kompatibilitäten zerschießt, solltest du dir Gedanken darüber machen, ob dieses OS wirklich sinnvoll ist.

Genau. Man lässt seinen PC am besten für immer ungepatcht, damit es immer mit alter Software kompatibel ist
Von mir aus, bleib bei deinem schlauen Tipp Software veralten zu lassen, um Kosten zu sparen. Mir egal.

Vergleiche eine DVD auf PowerDVD und dann auf VLC. Und dann sag mir, welches die bessere Qualität liefert. VLC wird es garantiert nicht sein.

Genau, es ist MPC-HC mit madVR und NGU Skaleriung.

 

[Schmarall]

Ich nehme das Paket vom K-Lite Codecguide, in dem auch der Mediaplayer Classic drin ist, und gut ist.

 

[Zero_Point]

Nicht eindeutig genug?

Keine Ahnung was ich falsch mache, aber bei mir ist PDVD alles andere als träge... Träge sind eher die Scheiben mit Vorspann, Menü und so Zeug.

Genau. Man lässt seinen PC am besten für immer ungepatcht, damit es immer mit alter Software kompatibel ist
Von mir aus, bleib bei deinem schlauen Tipp Software veralten zu lassen, um Kosten zu sparen. Mir egal.

Ich kenne eine Menge Betriebssysteme, bei denen ein Update kein Kompatibilitätsrisiko darstellt. Dafür eins bei dem man damit rechnen muss, die Hardware entsorgen zu können...

Genau, es ist MPC-HC mit madVR und NGU Skaleriung.

Der spielt auch problemlos BDs ab? Und bitte nicht mit dem roten Fuchs, der jederzeit eingestellt werden kann und der die Scheibe auch unterstützen muss.

 

[chief.toad]

War zwar nicht unbedingt nötig, da es wohl nur manipulierte mkv Dateien betrifft aber ich bin durch den Thread auf den Potplayer gekommen und bin bisher echt zufrieden. 👍

 

[Zero_Point]

War zwar nicht unbedingt nötig, da es wohl nur manipulierte mkv Dateien betrifft aber ich bin durch den Thread auf den Potplayer gekommen und bin bisher echt zufrieden. 👍

Echt jetzt?
https://www.computerbase.de/forum/t...altete-versionen.1883173/page-2#post-22905064

 

[chief.toad]

Argh... Schade, die Aufmachung gefällt mir echt. Was ist denn ausser dem MPC noch zu empfehlen? (ich les mir jetzt nicht den ganzen Thread durch).

Besonders gefällt mir, dass man einen Dateiexplorer wie hier auf dem Bild zu sehen in der Playlist nutzen kann, welcher Player bietet das noch? Ich möcht diese Funktion jetzt schon nicht mehr missen.
Edit: Falls der MPC das kann bin ich auch offen dafür.

 

[Morku]

Keine Ahnung was ich falsch mache, aber bei mir ist PDVD alles andere als träge... Träge sind eher die Scheiben mit Vorspann, Menü und so Zeug.

Das sowieso. Ist ja auch gewollt.

Der spielt auch problemlos BDs ab? Und bitte nicht mit dem roten Fuchs, der jederzeit eingestellt werden kann und der die Scheibe auch unterstützen muss.

Wie gesagt, mein Beitrag sollte einen Vorteil von VLC lobend hervorheben. Ich kenne sonst keinen weiteren, "leichtgewichtigen" OpenSource Player, der BDs mit Menü abspielen kann. Einfach nur, um die Möglichkeit zu haben im Menü rumzuspielen. Wie gesagt, MPC-HC = ~21 MB, VLC = ~40 MB, PowerDVD = fast 400 MB!
Am Ende schaue ich den Film dennoch mit MPC-HC an, da dieser den Blu-ray Film selbstverständlich abspielen kann (ist auch nur eine h.264 m2ts Datei, oder mehrere als mpls Playlist) mit all den Optimierungen von madVR. Man hat nur eben nicht das Menü, Wayne.

Den roten Fuchs gibt es jetzt schon seit 2003. Von "einfach eingestellt werden" kann hier also nicht die Rede sein. Genauso gut kann PowerDVD jederzeit eingestellt werden. Neros "Blu-ray Player" wurde von Version 2015 auf 2016 auch einfach gestrichen. Ebenso ArcSoft TotalMedia Theatre. Rentierte sich offenbar nicht. Die Diskussion ist also wenig zielführend

 

[NMA]

Da man die infizierte Datei selber öffnen muss mit VLC ist man sicher wenn man nur vertrauenswürdige Videos abspielt. Wie immer hilft Brain.exe hier am meisten. Einfach nicht jeden Scheiss runterladen und gut ist.
Ich möchte auf VLC nicht verzichten, nutze den zum Bluray gucken.

VLC und Blu-ray?
VLC ist doch quelloffen, open Source und der BD Content Codec, mit seinen "Schutz-featuren" ist doch unter Lizenz Regelung, dass klingt auf den ersten Blick, erstmal widersprüchlich.

Oder wird dabei ein Codec plug-in genutzt, bzw nicht kostpflichtiges Material, unter Copyright abgespielt?

 

[Hayda Ministral]

Mal andersrum gefragt, wie erkennt man denn Video/Audio-Dateien die so verändert wurden, dass sie einen Overflow verursachen?

Wenn der Angreifer seine Sache gut gemacht hat - gar nicht.

 

[Crass Spektakel]

Es ist viel schlimmer

Alle hier genannten Alternativen - Kodi, Potplayer, Media Player Classic - bauen stark auf VLC, FFMPEG usw. auf, teilweise greifen sie sogar auf die gleichen Sourcecodes zurück. Sogar der Firefox, Chrome, Chromium und Edge (sowohl der alte mit MS-Core als auch der neue mit Chromium-Core) nutzen viele Komponenten diesbezüglich.

D.h. alle diese Alternativen sind theoretisch ebenfalls vom Fehler betroffen.

Dazu kommt daß z.B. MPC sehr schleppend neue Patches aufnimmt und sogar noch viele Lücken des VLCs aus dem Jahr 2012(!!!) mitschleppt.

Die imho einzige ernsthafte Alterantive - weil eine Cleanroom-Implementierung vieler bekannter Codecs - wäre der Microsoft-Medienplayer. Der hat vermutlich die bekannten Fehler nicht aber wahrscheinlich andere.

Egal welche Alternatvie, man begibt man sich vom Regen in die Traufe.

Hoffentlich gibt es bald einen Bugfix. Bis dahin werde ich einfach nur alte Dateien mit VLC abspielen.

 

[Tuxgamer42]

Gibt es eine Möglichkeit "infizierte" Dateien mit einem AV Programm ausfindig zu machen?

Hey, noch haben wir doch nicht einmal die Bestätigung, dass die Sicherheitslücke aktiv ausgenutzt wird.

Die Reihenfolge ist einfach:

• Jemand schreibt einen Virus (was auch nicht trivial ist dank verschiedener Schutzmechanismen)
• Virus gelangt in die Hände Virenscanner Hersteller
• Virenscanner Hersteller passen Signaturen an

Und dann kann der Virus verändert werden - und das Spiel beginnt von neuem .

=> Ohne (bekannten) Virus nichts, wonach ein Virenscanner suchen kann. Schützen dagegen kann nur ein Update direkt in der Software.

 

[Jesterfox]

Die imho einzige ernsthafte Alterantive - weil eine Cleanroom-Implementierung vieler bekannter Codecs - wäre der Microsoft-Medienplayer.

Quark. Der Windows Media Player hat gar keine Codecs, er verwendet (wie die meisten anderen Player, außer mplayer und VLC) die im System installierten Codecs. Für mkv dürften die meisten da auch ffmpeg oder eine Abwandlung davon benutzen. Wenn der Fehler also tatsächlich im Codec und nicht im Code von VLC liegt wären die meisten die diesen Weg gehen auch betroffen.

 

[Hayda Ministral]

Sondert das BSI/CERT-Bund eigentlich zu jeder Sicherheitslücke in irgendeiner Software die Meldung ab, dass man sich nach einer Alternative umsehen sollte?

Nein, das ist nicht üblich bei BSI/CERT-Bund. Und auch im vorliegenden Fall sehe ich keine derartige Empfehlung wenn ich dem Link im Artikel folge.
Kann mir jemand mit einem Link zur Webseite in der das BSI/CERT-Bund sowas schreibt weiter helfen?