Sicherheitsupdate: Präpariertes Video kann VLC-Nutzer in Teufels Küche bringen
Der Mediaplayer VLC ist in einer abgesicherten Version erschienen. Eine Lücke gilt als kritisch. Die Entwickler sehen das anders.
Der VLC Player kann sich an bestimmten Videos verschlucken, was zu Speicherfehlern führt. Das könnten Angreifer dafür ausnutzen, um unter Umständen Schadcode auf Computern auszuführen. Dafür muss ein Nutzer lediglich ein präpariertes Video öffnen oder eine Website mit einem derartigen Video besuchen und VLC im Browser als Plugin zur Videowiedergabe nutzen. Nun gibt es eine gepatchte Version.
In der abgesicherten VLC Ausgabe 3.0.8 haben die Entwickler mehrere Sicherheitslücken geschlossen, denen insgesamt zwölf CVE-Nummern zugeteilt sind – alle vorherigen Versionen sollen bedroht sein. Ob davon alle Betriebssysteme betroffen sind, ist derzeit nicht bekannt. Eine als "kritisch" eingestufte Schwachstelle (CVE-2019-13962) soll nur die Ausgaben 3.0.2 und 3.0.7.1 betreffen, erläutern die VLC-Entwickler in einer Warnmeldung.
Mittel statt kritisch
Dort beziehen sie auch Stellung zur Risiko-Einordnung von zwei Schwachstellen, die mit "kritisch" und "hoch" eingestuft sind. Sie halten das für völlig überzogen und ihrer Meinung nach ist der Bedrohungsgrad als "mittel" anzusehen. Warum sie das so sehen, führen sie in der Warnmeldung jedoch nicht weiter aus. (des)