Secunia vs. VLC: Schwachstelle? Wenn ja: wo und welche?
Zwischen Secunia und VLC tobt ein Streit, der nun in Blogeinträgen und Nachrichten auf Reddit gipfelt. Seit Dezember 2012 sind sich Entwickler und Sicherheitsunternehmen über ein Advisory uneinig.
Zwischen Secunia und den Entwicklern des VLC-Media-Players ist Streit entbrannt. Im Dezember letzten Jahres veröffentlichte Secunia ein Sicherheits-Advisory für den VLC-Media-Player. Die Entwickler des Players reagierten mit einem Patch. Dieser soll laut Secunia die Schwachstelle aber nicht beseitigt haben. In der aktuellen VLC-Version 2.0.7 sei sie noch enthalten. In einem Blogpost kritisiert das Sicherheitsunternehmen nun die VLC-Entwickler. Diese hatten den Sicherheitsbericht angezweifelt und sollen am 21. Mai 2013 mit rechtlichen Konsequenzen für Secunia gedroht haben. Die VLC-Entwickler kontern.
Auf Seiten der Entwickler herrscht zum jetzigen Zeitpunkt allerdings noch Uneinigkeit, wie die Sicherheitslücke einzuschätzen ist. Jean-Baptiste Kempf wehrt sich in einem eigenen Blogpost gegen die Aussagen von Secunia. Unter Reddit liefert er sich über Stunden hinweg Auseinandersetzungen mit anderen Nutzern. Wie er erklärt, habe man die Sicherheitslücke sehr zeitnah geschlossen. Secunia habe aber das Advisory nicht aktualisieren wollen.
Der VLC-Entwickler TypX reagierte hingegen versöhnlich und entschuldigend auf die Veröffentlichungen von Secunia. Demnach soll es tatsächlich einen Bug gegeben haben, die Veröffentlichung durch Secunia halte er aber trotzdem für sachlich falsch.
Die Schwachstelle wurde laut TypX in der VLC-Entwickler-Version 2.1.0 behoben, allerdings wurden die Änderungen nicht für die Versionen 2.0.x – also auch noch nicht für 2.0.7 – umgesetzt. Wie der Entwickler schreibt, war er durch verschiedene Faktoren davon abgehalten worden und hätte es dann schlicht vergessen. Dafür entschuldigt sich TypX bei den VLC-Nutzern. Für seine von ihm in Unwissenheit gehaltenen Kollegen entschuldigt er sich ebenfalls. (kbe)