Nein, Sie müssen VLC nicht deinstallieren

„Der Himmel fällt; VLC sofort deinstallieren!“ Das ist der Rat, den einige Websites bieten. Aber der angebliche VLC-Fehler ist übertrieben – und laut den Entwicklern von VLC möglicherweise nicht einmal ein echtes Risiko.

Diese Aufregung begann mit der Veröffentlichung von CVE-2019-13615, die mit einer Punktzahl von 9,8 von 10 als „kritische“ Schwachstelle markiert wird. Die Entwickler von VLC sind nicht glücklich, dass sie vor der Veröffentlichung dieses Fehlers nicht einmal kontaktiert wurden.

Hallo @MITREcorp und @CVEneu , die Tatsache, dass Sie uns jahrelang vor der Veröffentlichung NIEMALS wegen VLC-Schwachstellen kontaktieren, ist wirklich nicht cool; aber zumindest könnten Sie Ihre Informationen überprüfen oder sich selbst überprüfen, bevor Sie die 9.8 CVSS-Sicherheitslücke öffentlich senden…

— VideoLAN (@videolan) 23. Juli 2019

Aber es ist schlecht, oder? Das sind 9,8 von 10 – was die Sicherheitslücken angeht, klingt es wie ein bevorstehender Atomschlag. Dieser Fehler könnte Berichten zufolge zu einer Remotecodeausführung führen, die schlecht ist. Angreifer könnten durch einen Fehler in VLC die Kontrolle über Ihr System erlangen.

Wie das CVE erklärt, erfordert dieser Fehler das Abspielen einer fehlerhaften MKV-Datei. Theoretisch könnte VLC kompromittiert werden, wenn Sie eine bösartige MKV-Datei aus dem Internet herunterladen und ausführen – obwohl niemand behauptet, dass dies jemals in der realen Welt passiert ist. Auch die macOS-Version von VLC scheint nicht betroffen zu sein.

Also, selbst wenn dieser Fehler so schlimm ist, müssen Sie nur mit MKV-Dateien vorsichtig sein – laden Sie keine nicht vertrauenswürdigen MKV-Dateien herunter und spielen Sie sie in VLC ab, bis ein Patch veröffentlicht wird. Halten Sie sich von MKV fern, wenn Sie Medien raubkopieren.

Aber nicht so schnell! Die Entwickler von VLC sagen, dass sie das Problem nicht einmal reproduzieren können, was darauf hindeutet, dass es ernsthafte Probleme mit dem ursprünglichen Exploit-Bericht gibt.

Hast du das überhaupt überprüft?
Dieses Problem kann hier niemand reproduzieren.

— VideoLAN (@videolan) 23. Juli 2019

Letztendlich ist es wahrscheinlich eine gute Idee, heruntergeladene MKV-Dateien zu meiden, bis VLC diesen Fehler behoben hat. Aber das ist alles, was Sie wirklich tun müssen, und selbst das ist irgendwie paranoid.

Wie die Entwickler von VLC auf der VideoLAN-Bugtracker:

„Entschuldigung, aber dieser Fehler ist nicht reproduzierbar und bringt VLC überhaupt nicht zum Absturz.“ -Jean-Baptiste Kempf

„Wenn Sie auf diesem Ticket durch einen Nachrichtenartikel landen, der einen kritischen Fehler in VLC behauptet, empfehle ich Ihnen, zuerst den obigen Kommentar zu lesen und Ihre (gefälschten) Nachrichtenquellen zu überdenken.“ -Francois Cartegnie

„Dies führt nicht zum Absturz einer normalen Version von VLC 3.0.7.1“ -Jean-Baptiste Kempf

Update: Hier ist die längere Antwort von VideoLAN. Laut den Entwicklern gibt es in der aktuellen VLC-Software überhaupt keinen Fehler.

Also, ein Reporter hat einen Fehler in unserem Bugtracker geöffnet, der außerhalb der Melderichtlinie liegt, alias, mailen Sie uns privat unter dem Sicherheitsalias.
Natürlich ist unser Bugtracker öffentlich.

Wir konnten das Problem natürlich nicht reproduzieren und versuchten, den Sicherheitsforscher privat zu kontaktieren.

— VideoLAN (@videolan) 24. Juli 2019