CERT-Bund

VLC Player "Update": Verwirrung um kritische Sicherheitslücke

BSI bzw. CERT-Bund warnen vor einer Sicherheitslücke, die in der aktuellen Version des VLC Player schlummern soll. Update: Die VLC-Entwickler widersprechen.

Der Passwort-Diebstahl der CyberVor-Hacker macht sich bemerkbar.

© Sergey Nivens - Fotolia.com

Die Sicherheitslücke im VLC-Mediaplayer ordnet der BSI als Stufe 4 ein und liegt damit einen Punkt unter der Höchstbewertung.

Über Twitter verkünden die Macher des VLC Player, dass die kritische Sicherheitslücke, vor der das CERT-Bund warnt (siehe Originalmeldung), bereits gefixt wurde: vor 16 Monaten. Der Fehler lag zu der Zeit nicht am VLC Player, sondern in einer veralteten Dritthersteller-Bibliothek. Seit der VLC-Version 3.03 sei der Media-Player sicher.

Die VLC-Macher kritisieren das CERT-Bund dafür, vor der Veröffentlichung des vermeintlichen Einfallstores nicht Kontakt zu ihnen aufgenommen zu haben. So hätten die Macher die Geschichte vorher aufklären können. Vorerst gilt also eine Entwarnung für Nutzer des VLC Player.

Originalmeldung vom 22. Juli:

Das Bundesamt für Sicherheit und Informationstechnik (BSI) bzw. das dort verankerte Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) machen auf eine kritische Sicherheitslücke aufmerksam, die den VLC-Player und Geräte, auf denen er installiert ist, für Cyberattacken anfällig macht. Seit 19. Juli besteht die Warnung und gilt so lange, bis VLC die Sicherheitslücke mit einem Update schließt. Bis dahin ist es ratsam einige Schritte zu unternehmen, um Angriffe zu vermeiden.

Betroffen ist die VLC-Version 3.0.7.1 für Windows, Linux und Unix. Bisher sind zwar noch keine Fälle bekannt, in denen Hacker die gefundene Schwachstelle ausnutzen, doch das Gefahrenpotenzial ist hoch. So ermöglicht es die Sicherheitslücke, einen Programmcode auszuführen, das Gerät mit DDoS-Attacken zu drangsalieren, Daten auszuspähen oder zu verändern. Die Originalmeldung stammt von der offiziellen Webseite des BSI.

Da die Software schon mit der Versionsnummer 3.0.6 wegen Sicherheitslücken auffiel, ist es nicht ratsam, eine vorherige Version des VLC-Mediaplayers zu benutzen. Womöglich sind ältere Versionen ebenfalls unsicher. Deshalb sollten Nutzer den kostenlosen und weit verbreiteten Mediaplayers vorerst nicht verwenden.

Lesetipp: Netzwerk-Sicherheit - So testen Sie Ihr Heimnetz auf Schwachstellen

Bisher bezog VLC noch keine offizielle Stellung und ein Update, um die Schwachstelle zu beseitigen, steht noch aus. Solange das Sicherheitsupdate in Arbeit ist, können sich Nutzer mit alternativen Mediaplayern aushelfen. Ein Kandidat hierfür ist zum Beispiel Mediaplayer Kodi, der sich über Addons individuell gestalten lässt - sowohl im Funktionsumfang als auch im Layout.

Mehr zum Thema

Microsoft Windows Hack
Anti-Spyware

SpyBot 2.7 Beta ist ab sofort als Download verfügbar. Der Malware-Entferner bringt einige Verbesserungen und Anpassungen für Windows 10 mit.
Update
Datenschutz Upgrade in Version 1803

Microsoft bringt die kumulativen Updates KB4134660/KB4134661 für Windows 10 Version 1703 / 1709. Hauptsächlich kommt damit Werbung für das April…
Update
Redstone 5 und Build 18204

Microsoft veröffentlicht die Insider-Preview-Build 17723 (Redstone 5) und Build 18204 (19H1). Diese bringen intelligente Windows-Updates und…
iTunes für Windows bleibt
BSI warnt vor unsicheren iTunes-Versionen

iTunes weist einige Sicherheitslücken auf, durch die Kriminelle an private Daten gelangen könnten. Apples Update 12.9.6 schließt die Schwachstellen.
Sicherheitslücken am PC
Microsoft empfiehlt sofortiges Update

Microsoft und BSI warnen vor den DejaBlue-Sicherheitslücken und fordern alle Windows-Nutzer auf, das Sicherheitsupdate zu installieren.