CERT-Bund
VLC Player "Update": Verwirrung um kritische Sicherheitslücke
BSI bzw. CERT-Bund warnen vor einer Sicherheitslücke, die in der aktuellen Version des VLC Player schlummern soll. Update: Die VLC-Entwickler widersprechen.
Über Twitter verkünden die Macher des VLC Player, dass die kritische Sicherheitslücke, vor der das CERT-Bund warnt (siehe Originalmeldung), bereits gefixt wurde: vor 16 Monaten. Der Fehler lag zu der Zeit nicht am VLC Player, sondern in einer veralteten Dritthersteller-Bibliothek. Seit der VLC-Ve...
Über Twitter verkünden die Macher des VLC Player, dass die kritische Sicherheitslücke, vor der das CERT-Bund warnt (siehe Originalmeldung), bereits gefixt wurde: vor 16 Monaten. Der Fehler lag zu der Zeit nicht am VLC Player, sondern in einer veralteten Dritthersteller-Bibliothek. Seit der VLC-Version 3.03 sei der Media-Player sicher.
Die VLC-Macher kritisieren das CERT-Bund dafür, vor der Veröffentlichung des vermeintlichen Einfallstores nicht Kontakt zu ihnen aufgenommen zu haben. So hätten die Macher die Geschichte vorher aufklären können. Vorerst gilt also eine Entwarnung für Nutzer des VLC Player.
Originalmeldung vom 22. Juli:
Das Bundesamt für Sicherheit und Informationstechnik (BSI) bzw. das dort verankerte Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) machen auf eine kritische Sicherheitslücke aufmerksam, die den VLC-Player und Geräte, auf denen er installiert ist, für Cyberattacken anfällig macht. Seit 19. Juli besteht die Warnung und gilt so lange, bis VLC die Sicherheitslücke mit einem Update schließt. Bis dahin ist es ratsam einige Schritte zu unternehmen, um Angriffe zu vermeiden.
Betroffen ist die VLC-Version 3.0.7.1 für Windows, Linux und Unix. Bisher sind zwar noch keine Fälle bekannt, in denen Hacker die gefundene Schwachstelle ausnutzen, doch das Gefahrenpotenzial ist hoch. So ermöglicht es die Sicherheitslücke, einen Programmcode auszuführen, das Gerät mit DDoS-Attacken zu drangsalieren, Daten auszuspähen oder zu verändern. Die Originalmeldung stammt von der offiziellen Webseite des BSI.
Da die Software schon mit der Versionsnummer 3.0.6 wegen Sicherheitslücken auffiel, ist es nicht ratsam, eine vorherige Version des VLC-Mediaplayers zu benutzen. Womöglich sind ältere Versionen ebenfalls unsicher. Deshalb sollten Nutzer den kostenlosen und weit verbreiteten Mediaplayers vorerst nicht verwenden.
Lesetipp: Netzwerk-Sicherheit - So testen Sie Ihr Heimnetz auf Schwachstellen
Bisher bezog VLC noch keine offizielle Stellung und ein Update, um die Schwachstelle zu beseitigen, steht noch aus. Solange das Sicherheitsupdate in Arbeit ist, können sich Nutzer mit alternativen Mediaplayern aushelfen. Ein Kandidat hierfür ist zum Beispiel Mediaplayer Kodi, der sich über Addons individuell gestalten lässt - sowohl im Funktionsumfang als auch im Layout.
