© VideoLAN

Produkte
07/24/2019

"Löscht VLC": Streit um angeblich kritische Lücke

Das deutsche CERT warnt eindringlich vor dem beliebten VLC-Player. Die Macher sehen hingegen kein Problem.

VLC zählt zu den beliebtesten Videoplayern und ist für zahlreiche Plattformen verfügbar. Nun warnt das deutsche Bundesamts für Sicherheit in der Informations­technik (CERT-Bund) jedoch vor der Verwendung der Software. Grund ist eine Sicherheitslücke, die als äußerst kritisch eingestuft wird, das Risiko sei hoch.

“Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren”, heißt es in der entsprechenden Warnung des CERT. Betroffen ist VLC 3.7.1 für Linux-, UNIX- und Windows-Systeme. 

“Deinstalliert VLC”

Zahlreiche Medien haben die Warnung aufgegriffen und fordern teilweise dazu auf, den beliebten Player zu deinstallieren

Wie kritisch die Lücke wirklich ist, ist aber unklar. Ein entsprechendes Ticket für den genannten Bug ist seit vier Wochen geöffnet. VLC-Chefentwickler Jean-Baptiste Kempf hat sich dort zu Wort gemeldet und dementiert das Problem. "Entschuldigung, aber dieser Fehler ist nicht reproduzierbar und bringt VLC überhaupt nicht zum Absturz”, so Kempf etwa. Auch auf Twitter reagierte VideoLAN und gab an, dass der Fehler nicht reproduzierbar sei. 

Ein Update gibt es demnach auch nicht, die beanstandete VLC-Version stand Mittwochfrüh noch wie gewöhnlich zum Download bereit. Demgegenüber steht ein Proof-of-Concept-Video, das zeigt, wie die Lücke ausgenutzt werden kann. 

Wie reagieren?

Wie man als Nutzer darauf reagieren soll, hängt davon ab, ob man nun den VLC-Machern oder dem deutschen CERT mehr Glauben schenkt. In jedem Fall auf der sicheren Seite ist man, wenn man keine mkv-Files abspielt. Jene ist das Einfallstor über die - angebliche - Schwachstelle.