BSI warnt vor Schwachstelle im VLC-Player bis V3.0.7.1

Sicherheit[English]In allen aktuellen Versionen des VLC-Player bis zur V3.0.7.1 gibt es eine kritische Schwachstelle, die einen Denial of Service-Angriff ermöglicht. Das BSI hat eine Warnung ausgesprochen.


Anzeige

VLC Media Player ist ein Programm zur Wiedergabe von Multimedia-Dateien und Netzwerkstreams. Es ist kostenlos auf der Video LAN-Webseite erhältlich und recht populär. Der VLC Media Player steht für Windows, macOS, Linux, Android etc. zur Verfügung.

Die BSI-Warnung

In diesem Dokument gibt das BSI an, dass der VLC-Player bis zur Version 3.0.7.1 eine kritische Denial of Service-Schwachstelle aufweist. Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um das Programm zum Absturz zu bringen. Dabei muss eine modifizierte Datei des Angreifers geöffnet werden um die Schwachstelle auszunutzen.

Das BSI bezieht sich auf diese Security-Focus-Meldung, welches zum 14. Juni 2019 eine VideoLAN VLC CVE-2019-13602 Heap Based Buffer Overflow Vulnerability für alle VLC Player-Versionen berichtete.

Leider empfiehlt das BürgerCERT, die zeitnahe Installation der vom Hersteller bereitgestellten Sicherheitsupdates, um die Schwachstellen zu schließen. Allerdings gibt es keine aktualisierte Version des VLC-Player höher als die Version 3.0.7.1.

Details zum Fehler

Die National Vulnerability Database stuft hier die Schwachstelle mit einem 9.8 Base Score als kritisch ein. Dort gibt es den Hinweise, in welchem CPP-Modul die Schwachstelle gefunden wurde.

VideoLAN VLC media player 3.0.7.1 has a heap-based buffer over-read in mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp when called from mkv::Open in modules/demux/mkv/mkv.cpp.

Es kommt dort im MKV-Modul zu einem Heap-Buffer-Overflow, so dass Lesezeiger auf fremde Speicher zeigen können. Der Fehler tritt nach meiner Interpretation beim Öffnen und Decodieren von MKV-Dateien auf. Allerdings bin ich auf diesen Eintrag gestoßen, der das möglicherweise relativiert. Dort findet sich für CVE-2019-13602 der Text:

An Integer Underflow in MP4_EIA608_Convert() in modules/demux/mp4/mp4.c in VideoLAN VLC media player through 3.0.7.1 allows remote attackers to cause a denial of service (heap-based buffer overflow and crash) or possibly have unspecified other impact via a crafted .mp4 file.
Publish Date : 2019-07-14 Last Update Date : 2019-07-15

was konträr zu obiger Meldung in der National Vulnerability Database ist. Dort wird ein Problem auch in MP4-Dateien gemeldet und ein CVS-Score von 6.8 für den Denial Of ServiceOverflow angegeben. Eine möglicher Erklärung zur Diskrepanz findet sich hier.


Anzeige

Heise berichtet hier, dass keine Angriffsszenarien bekannt sind. Zur Zeit arbeiten die Entwickler des Video LAN-Projekts jedoch noch an einer Fehlerkorrektur. Auf GitHub gibt es seit dem 27. Juni2 2019 einen ersten Commit für diesen Fehler. Unklar ist, wann eine aktualisierte Fassung des VLC-Player freigegeben wird.

Angeblich Patch, VLC-Entwickler können Fehler nicht nachvollziehen

Ergänzung: Gerade sind mir auf Twitter zwei Informationen unter die Augen gekommen. In nachfolgendem Tweet geht es angeblich um einen Patch.

Der Text besagt aber, dass der Patch seit 4 Wochen in Arbeit und zu 60% fertig sei – aber noch nicht ausgerollt werde. Zitat:

VLC Media Player’s developer, the non-profit organisation VideoLAN, is currently working on a patch that, it claims, is now 60 per cent complete. The company has been working on the fix for the past four weeks, according to the bug report by the company.

Dagegen hat mich dann der zweite Tweet auf Twitter doch etwas verunsichert. How To Geek hat es zusammengefasst.

Die Botschaft:  CVE-2019-13615 lässt sich von den Video-LAN-Entwicklern nicht reproduzieren. Hier deren Tweet

Das ist natürlich übel – irgend etwas läuft dort wohl kräftig schief.

Aufklärung durch das VideoLAN-Projekt

Ergänzung: Die Entwickler des VideoLAN-Projekts haben nun das Geheimnis gelüftet. Folgender Tweet benennt die Sache.

PC Games hat in diesem Artikel einige Details genannt. Das Problem besteht in einer Drittanbieter-Bibliothek libebml, die mit älteren Ubuntu-Versionen wie 18.04 ausgeliefert wurde. Dort wurde der Bug auch an das VideoLAN-Projekt gemeldet – was aber der falsche Adressat war. In VLC Player V3.0.3 und höher ist die korrekte Version der Bibliothek einfach mit dabei und alles ist gut. Danke an Markus für den Kommentar.


Anzeige
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

10 Antworten zu BSI warnt vor Schwachstelle im VLC-Player bis V3.0.7.1


  1. Anzeige
  2. deoroller sagt:

    Den VLC nutze ich nur zum Abspielen von Filmen über den Mediaserver der Fritzbox per UPnP. Bei der Installation ist es wichtig, die Browser Plugins abzuwählen, damit keine Inhalte von Außen im Browser mit dem VLC abgespielt werden. Die Sachen können unbeabsichtigt installiert werden und man hat dann ein Einfallstor für Schadcode.
    Als Sicherheitsmaßnahme sollten Browser Plugins zumindest so eingestellt sein, dass man vor der Ausführung gefragt wird.
    Automatisches Abspielen ist immer riskant und darauf lauert Schadcode nur.

  3. Pater sagt:

    Sollte man bis zur Beseitigung der Schwachstelle VLC deinstallieren und/oder einen Alternativ-Player nehmen https://www.heise.de/tipps-tricks/VLC-Media-Player-Diese-Alternativen-gibt-es-4410385.html ?

    Hatte die Frage heute schon vor dem Beitrag im Diskussions-Blog und bei VLC Media Player 3.0.7.1 mit Green-Flickering Bugfix gestellt. Kann dort gelöscht werden, Herr Born.

    • Günter Born sagt:

      Ich würde den VLC erst einmal auf dem System belassen. Lokal vorhandene ältere Videodateien Stufe ich als unkritisch ein. Die Schwachstelle wird ja noch nicht ausgenutzt. Und aktuell sieht es so aus, als ob ein präpariertes Video das Programm und ggf. das Betriebssystem zum Hängen bringt.

    • Bernhard M. sagt:

      Von den im Link gelisteten kostenlosen Alternativen ist eigentlich nur der SMPlayer noch eine echte Alternative, seitdem dem MPC HC Projekt die Entwickler abhanden gekommen sind (letztes offizielles Release von 2017!). BS.Player und KMPlayer sind (waren?) in ihren Free Versionen mit Adware verseucht. BS.Player zeigt zudem noch ein Wasserzeichen im Video an -> für mich ein No-Go! Und beim Realplayer sieht man schon die Werbung im Hauptfenster, wie beim KMPlayer auch.

      In der Liste im Link fehlt mir jedoch der MPC BE (Black Edition), der, ähnlich wie der MPC HC auf dem MPC basiert aber keine “integrierten” Codec Filter besitzt (müssen separat heruntergeladen und installiert werden).

      Oder aber man geht den klassischen Weg: MPC und ein Codec Pack seiner Wahl (z.B. K-Lite).

      • ralf sagt:

        es gibt auch noch einen fork von clsid2. bei portableapps[.com] hat dieser fork das offizielle mpc-hc abgeloest.
        https://github.com/clsid2/mpc-hc/releases

        “Due to a lack of active developers, the player is currently in maintenance mode. This means that there no plans for adding any new features. Development is limited to small bug fixes. The internal codecs are developed in an external project (LAV Filters). That project is still actively maintained, and MPC-HC will be updated periodically with the latest codecs. Same applies to code/files from other external projects that are used by MPC-HC, such as MediaInfo.”
        https://github.com/clsid2/mpc-hc

  4. Anzeige

  5. quack sagt:

    Hinweis zum download:
    Den VLC-Player immer von der Original-Seite
    https://www.videolan.org
    downloaden.
    NIE von der Seite https://www.vlc.de/, da wird nur sinnloser Müll mit heruntergeladen.
    Inzwischen wird bei mir auch durch ublock origin vor dem Aufruf dieser Seite gewarnt…..

  6. Markus sagt:

    Es scheint tatsächlich eine Schwachstelle in Ubuntu zu sein, bzw. eine veraltete library. VLC ist dann einfach davon betroffen.

  7. kette oben sagt:

    “irgend etwas läuft dort wohl kräftig schief.”

    Es läuft schief? ja, in den Medien – weil es eine 1a Ente ist!
    Es ist – offensichtlich – viel zu früh und zu laut vorm vlc gewarnt worden. Und dem Project damit ein unnötiger Imageschaden verpasst worden.
    => viel Lärm um nichts! daher next time vlt besser etwas genauer hinschauen…
    ;)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.