Vorsicht: Kritische Schwachstelle in aktueller Version des VLC Media Player
(Für diese Meldung wurde am 25.07. eine Richtigstellung veröffentlicht.)
(Bild: Efraimstochter)
Nutzer des VLC Media Players für Windows, Linux und macOS sollten darüber nachdenken, vorerst auf eine Alternative zur beliebten Mediaplayer-Software zurückzugreifen. Denn das CERT des Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund) hat eine Warnmeldung veröffentlicht, derzufolge eine bislang ungepatchte Sicherheitslücke in der aktuellen Version 3.0.7.1 hohes Risikopotenzial für Remote-Attacken birgt.
Angreifer könnten Code ausführen
Laut Warnmeldung von CERT-Bund könnte ein entfernter, anonymer Angreifer die Lücke ausnutzen, um "beliebigen Programmcode auszuführen, einen 'Denial of Service'-Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren". In der National Vulnerability Database (NVD) zu CVE-2019-13615 ist der Lücke ein CVSS-v3-Score von 9.8 ("critical") zugeordnet.
Dem in der NVD veröffentlichten CVSS-v3 Attack Vector ist außerdem zu entnehmen, dass die Komplexität eines Angriffs über die Sicherheitslücke niedrig ist und dass ein solcher weder bestimmte Zugriffsrechte noch eine Nutzer-Interaktion mit der Software erfordern würde.
Über aktive Angriffe auf VLC 3.0.7.1 ist bislang nichts bekannt.
VLC arbeitet an der Fehlerbehebung
Die NVD verweist auf einen Eintrag im VLC-Bugtracker, dem unter anderem Details zur Sicherheitslücke und dem aktuellen Bugfixing-Status ("Work status") zu entnehmen sind. Demnach hat das Beheben des Sicherheitsproblems höchste Priorität.
Wann der Code gefixt sein und in eine abgesicherte VLC-Version einfließen wird, ist derzeit aber noch nicht bekannt. Ebenso ist unklar, wie lange der zugrundeliegende Bug schon im Code schlummert und ob womöglich auch frühere Versionen der Software angreifbar sind.
Update 19.07.19, 20:12: Wie Leser im heise-Security-Forum richtig bemerkt haben, hängt dem Bugtracker-Eintrag (möglicherweise als Proof-of-Concept) eine .mp4-Datei an. Dies legt die Vermutung nahe, dass zum Ausnutzen der Sicherheitslücke eine präparierte Videodatei abgespielt werden muss. Explizit erwähnt beziehungsweise bestätigt wird dies aber weder in der Meldung von CERT-Bund noch im NVD-Eintrag.
Update 25.07.19, 10:55: Mittlerweile haben wir eine Richtigstellung zu dieser Meldung veröffentlicht. Gegenüber heise Security sagte ein Sprecher von VideoLAN, dass für Nutzer von VLC 3.0.7.1 zu keinem Zeitpunkt eine Gefahr bestanden habe. Ich als Autorin möchte mich hiermit für die ungeprüfte Übernahme der Einschätzung von BSI/CERT-Bund entschuldigen. (ovw)
