# Kritische Sicherheitslücke im VLC Player entdeckt



## RyzA (21. Juli 2019)

*Kritische Sicherheitslücke im VLC Player entdeckt*

Hallo!

Im VLC Player ist eine kritische Sicherheitslücke entdeckt worden vor der sogar das BSI warnt:

Vorsicht: Kritische Schwachstelle in aktueller Version des VLC Media Player | heise online

VLC Media Player: CERT stuft Sicherheitsluecke als kritisch ein - ComputerBase

Kritische Sicherheitsluecke im VLC media player - Hardwareluxx

Es wird bereits an einen Bugfix gearbeitet.
Ich nutze vorübergend wieder den "Media Player Classic".


----------



## TomatenKenny (21. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

danke für die INfo


----------



## Two-Face (21. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Gut, dass ich noch die alte Version habe.

Irgendwie scheint es mit dem VLC media player auch langsam bergab zu gehen...


----------



## RyzA (21. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



Two-Face schrieb:


> Gut, dass ich noch die alte Version habe.


Ich zitiere mal CB



> Da bereits die Versionsnummer 3.0.6 (*und älter*) anfällig für eingeschleusten Schadcode war, empfiehlt die Behörde Anwendern vorerst auf einen anderen Media Player auszuweichen.



So wie ich das verstehe sind dann auch die älteren Versionen betroffen.

Edit: Bzw das waren bei den älteren Versionen wohl andere Sicherheitslücken.


----------



## Krautmausch (21. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Schon wieder? Ich hab doch letztens erst wegen irgendeiner Sicherheitslücke geupdatet.


----------



## iGameKudan (21. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

... und die Lücke ist nur auszunutzen, nachdem ein modifiziertes Medienfile abgespielt wird.

-> Viel Wind um nix, wenn man "brain.exe" benutzt. Sicherlich nicht schön, aber auch kein Weltuntergang.


----------



## RyzA (21. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



iGameKudan schrieb:


> ... und die Lücke ist nur auszunutzen, nachdem ein modifiziertes Medienfile abgespielt wird.
> 
> -> Viel Wind um nix, wenn man "brain.exe" benutzt. Sicherlich nicht schön, aber auch kein Weltuntergang.


Das steht bei so bei Computerbase.

Bei Heise steht aber dazu



> Explizit erwähnt beziehungsweise bestätigt wird dies aber weder in der Meldung von CERT-Bund noch im NVD-Eintrag.


Also 100% sicher ist das noch nicht.


----------



## colormix (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



Headcrash schrieb:


> Hallo!
> 
> Im VLC Player ist eine kritische Sicherheitslücke entdeckt worden vor der sogar das BSI warnt:
> 
> ...



1. Die News sind schon eine Woche Alt 
2.Unnötige Panik mache man schaltet  vor erst einfach die Internet Funktion  aus  dann  kann nichts passieren  weil der dann keinen Online Zugriff mehr hat  .

3.Was das BSI von sich gibt das lese ich schon lange  nicht mehr,
   meiner Meinung eine Behörde  die dem Steuerzahler viel Geld kostet 
   und keinen Nutzen bringt .
4. "Ich nutze vorübergehend wieder den "Media Player Classic". ",
schön für ich , dem  Media Player Classic gibt es nicht für Linux/Mac,  kann kein DLNA damit kann ich keine Inhalte vom meinem BR HDD Recorder NICHT  ab spielen    weil der Player das   nicht kann ,
ich benutzte vorübergehend meine Kaffeemaschine hat den gleichen  Effekt .


----------



## RyzA (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> 1. Die News sind schon eine Woche Alt


Dann guck mal in den Artikeln von wann die sind.

Auf den restlichen Unsinn von dir gehe ich nicht mehr ein.


----------



## DKK007 (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> 2.Unnötige Panik mache man schaltet  vor erst einfach die Internet Funktion  aus  dann  kann nichts passieren  weil der dann keinen Online Zugriff mehr hat  .


Eine manipulierte mp4-Datei kann auch per USB-Stick kommen. 




colormix schrieb:


> 3.Was das BSI von sich gibt das lese ich schon lange  nicht mehr,
> meiner Meinung eine Behörde  die dem Steuerzahler viel Geld kostet
> und keinen Nutzen bringt .



Ich freue mich schon auf die 200 neuen Stellen die das BSI nächstes Jahr in Freital schaffen will. Bin nur gespant, wie die so schnell ein Gebäude dafür  bauen wollen.


----------



## Threshold (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Seit Version 3 kann man den VLC Player eh rauchen. Ich nutze noch eine 2xxx Version und das reicht mir.


----------



## colormix (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



DKK007 schrieb:


> Eine manipulierte mp4-Datei kann auch per USB-Stick kommen.
> 
> 
> Ich freue mich schon auf die 200 neuen Stellen die das BSI nächstes Jahr in Freital schaffen will. Bin nur gespant, wie die so schnell ein Gebäude dafür  bauen wollen.



Wenn der VLC im Netz geblockt ist kann der auch keinen Schadcod nach laden wenn z.b
eine mp3/4 Datei manipuliert ist . 
In  Windows kann man den Blocken bei den Sicherheits- Einst. bei Netz Freigabe,

BSI mein das es  nur bei der   3.0.7.1 der Fall ist Sicherheits-- Lücke  bei mir ist 3.0.4 unter Linux installiert eine andere wird nicht angeboten also nicht betroffen   .


----------



## DKK007 (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Im Zweifel für das Nachladen von Schadcode ein Script verwendet. Auch die PowerShell ist dafür sehr beliebt.


----------



## colormix (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

braucht man nicht das ist nur ein,  nein zwei  Maus klicks , 
Windows Sicherheits Center VLC Privat/Öffentlich erlauben auf blockieren stellen -> ganz einfach dann ist es fest abgestellt
und wenn man eine Version dann installiert die wieder Sicher 
ist , schalte man das einfach wieder an und erlaubt den Netz Zugriff wieder !

Warum so kompliziert wenn es einfacher geht ?


----------



## Venom89 (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> Warum so kompliziert wenn es einfacher geht ?



Weil dein "einfach", nicht funktioniert.


----------



## DKK007 (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> Windows Sicherheits Center VLC Privat/Öffentlich erlauben auf blockieren stellen -> ganz einfach dann ist es fest abgestellt
> und wenn man eine Version dann installiert die wieder Sicher



Also ich kann da nichts finden. 

Wenn hilft sowieso nur die ganze Deinstallation.


----------



## colormix (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

meine irgendwo mal gelesen zu haben das  man irgendwo im Windows komplette Ports blocken kann ,
Ich meine das hier :


----------



## JoM79 (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Du meinst also nichts?


----------



## colormix (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Bei mir  stand der VLC in der Liste als ich   den   mal Online/Netzwerk  Funktion aktiviert und genutzt hatte , der MPC-HC und Total Commander und das Ein oder andere Game steht  auch drin .


----------



## DKK007 (22. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Nützt nur nichts, wenn der Download über Systemtools von Windows durchgeführt wird.


----------



## colormix (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

ich denke schon das das was nutzt wenn der VLC vom Netzwerk abgekoppelt ist kann     VLC    nicht   mehr  auf das     Internet   zugreifen   
 wenn ein   User  was abspielt und wenn das diesen Schadcod einhält kann VLC selber nicht mehr eigenmächtig aus dem Internet    was  nach oder runter laden  weil diese Funktion Geblockt ist.


----------



## JoM79 (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Wer sagt denn, dass der Schadcode über VLC runter geladen wird?


----------



## colormix (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

ich behaute das einfach Beweise das Gegenteil ,
der VLC führt eine Datei aus die diesen Schadcod enthält 
der  Internet Zugriff   ist im VLC komplett komplett Geblockt wo der so dann der Zugriff  bekommt  über den  Browser  oder das Updates Center wohl kaum , 
man sollte allerdings den VLC nicht in den Browser einbinden das ist dann wieder eine Schwachstelle in diesem Fall , darüber könnte  sage ich  mal ? ...
Bei Linux mache ich mir keinen Kopf vor gestern und gestern kam wieder ein FW Update ,
im Linux Software Center steht auch eine ganz andere Version bereit als die , die das BSI nennt ,
liegt wohl an der Hitze .

Auf der Hersteller Seite VLC ist die Aktuelle Version die angeblich dieses Sicherheits- Leck haben soll nicht runter genommen und steht zum  Download  bereit .
Version 3.0.7.1

BSI Schreibt dazu 
Titel:VLC: Schwachstelle ermöglicht CodeausführungDatum:19.07.2019Software:Open Source VLC 3.0.7.1Plattform:Linux, UNIX, Windows

BSI  -  CERT Bund -Meldungen - CB-K19/0634

oder die Rauchen Alle E-Zigaretten..


----------



## JoM79 (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Genau, weil der Schadcode unbedingt eine Internetfreigabe des VLC braucht, um Schaden anzurichten.


----------



## LimeGreen777 (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Aus den Kommentaren des verlinkten Artikel von Heise online:

Nutzer Agitatara schrieb am 19.07.2019 16:51

Zitat: 
Clickbait, oder was heißt "aus der Ferne ausnutzbar"?

Ich verwende den VLC-Player auf verschiedenen Desktops im lokalen Netz um zumeist selbst erstellte Medien abzuspielen. Das lokale Netz ist durch eine Firewall ohne offene Ports abgesichert. Der VLC-Player darf auf keinem Rechner auf irgendwelchen Ports lauschen. Insofern würde mich interessieren was mit "aus der Ferne ausnutzbar" gemeint ist. Soll es heißen, dass eventuell im LAN vorhandene Schadsoftware die Sicherheitsproblematik ausnutzen kann? Soll es heißen, dass VLC regelmäßig Verbindungen zu kompromittierten Servern aufbaut? Soll es heißen, dass bestimmte herunterladbare Medien so kompromittiert sein können, dass sie den Player angreifen?
Sofern dies nicht genauer erklärt wird, ist die Meldung für mich: Clickbait bzw. Panikmache.

Zitat ende.

Ich denke auch, panikmache. Außerdem.... Bundesämter + Internet = Neuland?!


----------



## DKK007 (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Aus der Ferne ausnutzbar heißt in dem Fall einfach, dass es reicht, wenn du eine manipulierte Datei herunterlädst, als Strem öffnest oder per Mail erhälst. 

Der Schadcode lässt sich auch direkt in die MPEG Datei packen. Ist schließlich nur ein Containerformat, das insbesondere im Bereich der Metadaten viel Platz für eigenen Content bietet.


----------



## colormix (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



JoM79 schrieb:


> Genau, weil der Schadcode unbedingt eine Internetfreigabe des VLC braucht, um Schaden anzurichten.



Du verstehst  es nicht , 
Manipulierte Datei muss erstmal mal auf den Rechner kommen ,
die Chansen das das passiert wenn der VLC für Internet geblockt ist gering bis gar nicht ,  und falls man eine Infizierte Datei drauf ist   weil  jemand dich Ärgern  will und die z.b. per Email   geschickt hat  um dich zu Ärgern ,
muss der VLC  einen  Online Zugriffen  haben   damit die Sicherheits Lücke ausgenutzt werden kann  , > wie oft  denn noch ? <
wenn  die aber selber Gesperrt/Geblockt ist  VLC Online Zugriff/Netz , 
geht der   Zugriff über die Sicherheits Lücke im  VLC NICHT  ,
nur noch  über das OS selber was gegen so was Abgesichert ist. .


----------



## wuselsurfer (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> die Chansen das das passiert wenn der VLC für Internet geblockt ist gering bis gar nicht ,


Völliger Nonsens.



colormix schrieb:


> und falls man eine Infizierte Datei drauf ist   weil  jemand dich Ärgern  will und die z.b. per Email   geschickt hat  um dich zu Ärgern ,


Nur völlige Deppen öffnen unbekannte emails.

Der Rest ist Crap für die runde Ablage.

Deine Beiträge sind ein Graus für die Leser.
Du verstößt immer noch wissend gegen die Forenregeln.


----------



## DKK007 (23. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

@colormix: Du hast also noch nie eine Video oder Musikdatei aus dem Internet heruntergeladen??

Auch die Videodateien, die man mit Mediathekview herunterlädt stammen in sofern aus dem Internet, dass es möglich wäre, die Server der ÖR zu hacken und die Videodateien durch manipulierte Versionen zu ersetzen.


----------



## colormix (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



DKK007 schrieb:


> @colormix: Du hast also noch nie eine Video oder Musikdatei aus dem Internet heruntergeladen??



Öffners mal aber  nie über einen Player  , nur  übern Browser  mit  entsprechenden Addons , 
dafür habe ich extra ein 2. Firefox  Profil  .


Auf die Version Sachen gehst du   NICHT ein, 
die  genannte  Version  steht     immer noch zum DL bereit  wurde  von VLC nicht entfernt,
ich glaube hier nämlich bald was anderes  das da keiner durchsteigt und Überhaut  keiner  Ahnung  hat .

*** wenn diese Version vom VLC      3.0.7.1 diese Sicherheits-  Lücke angeblich  hat >>> warum  entfernt VLC diese Version nicht aus dem DL Bereichern ? *** das BSI benennt diese   3.0.7.1  ebenfalls ...

Was das BSI so verbreitet    oft Unwissenheit auf kosten der Steuerzahler ? das soll wohl nur die Oma beruhigen so nach dem Motto man Tut was ?
Mal beim NSA  nachfragen die sind kompetenter *g*


----------



## -Shorty- (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> Öffners mal aber  nie über einen Player  , nur  übern Browser  mit  entsprechenden Addons ,
> dafür habe ich extra ein 2. Firefox  Profil  .



Du schützt dich also vor infizierten Dateien, mit einem 2. Firefoxprofil?
Hältst du das für effektiv?



colormix schrieb:


> *** wenn diese Version vom VLC      3.0.7.1 diese Sicherheits-  Lücke angeblich  hat >>> warum  entfernt VLC diese Version nicht aus dem DL Bereichern ? *** das BSI benennt diese   3.0.7.1  ebenfalls ...


Es gibt vorerst keinen Patch und wann ein Update fertig wird, steht noch nicht fest.


----------



## colormix (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



-Shorty- schrieb:


> Du schützt dich also vor infizierten Dateien, mit einem 2. Firefoxprofil?
> Hältst du das für effektiv?
> 
> k.



ich schütze mich nicht davor sondern, 
das  Standard  Profile ist so eingestellt das  "Alle Video Inhalte Geblockt sind",
um mich vor Daten   Volumen  Diebstahl zu schützten  damit  beim normalen serven  nicht das teuer  bald un bezahlbare  knappe Daten Volumen  abgrabt wird für Ungewollt und unerwünschte   Werbe  Belästigung von Form von Werbe  Clips  Inhalte die heimlich im Hintergrunde gestartet werden zu schützten .

Das ist hier auch und nicht anders auf dem Linux PC so eingestellt ,
Profil für normale Nutzung und da 2. für Media Inhalte  ,
der Linux PC wird genau so selbstverständlich benutzt wie ein Windows PC in der letzten Zeit sogar sehr oft  und Windows bevorzugt, das hat aber andere Gründe weil ich bei Linux nämlich die Lan Verbindung auf manuell stellen kann was bei Windows nicht geht .
Und das hätte z.b. auch wen Vorteil wenn ich einen VLC Player drauf hätte mit diesem Sicherheits -Leck und so eine infizierte Datei abspiele will und nicht sicher bin  , Tenne ich einfach die Lan Verbindung zum Router  was bei Windows sehr umständlich ist .


----------



## Venom89 (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*



colormix schrieb:


> ich schütze mich nicht davor sondern,
> das  Standard  Profile ist so eingestellt das  "Alle Video Inhalte Geblockt sind",
> um mich vor Daten   Volumen  Diebstahl zu schützten



Datenvolumen Diebstahl 
Hör bitte auf, sonst puller ich mich noch ein 



> damit  beim normalen serven  nicht das teuer  bald un bezahlbare  knappe Daten Volumen  abgrabt wird für Ungewollt und unerwünschte   Werbe  Belästigung von Form von Werbe  Clips  Inhalte die heimlich im Hintergrunde gestartet werden zu schützten .



Wie? Hat der Nachbar etwa wieder das Wlan passwort geändert? 
So ein schlitzohr.. 



> Das ist hier auch und nicht anders auf dem Linux PC so eingestellt ,
> Profil für normale Nutzung und da 2. für Media Inhalte  ,
> der Linux PC wird genau so selbstverständlich benutzt wie ein Windows PC in der letzten Zeit sogar sehr oft  und Windows bevorzugt, das hat aber andere Gründe weil ich bei Linux nämlich die Lan Verbindung auf manuell stellen kann was bei Windows nicht geht .
> Und das hätte z.b. auch wen Vorteil wenn ich einen VLC Player drauf hätte mit diesem Sicherheits -Leck und so eine infizierte Datei abspiele will und nicht sicher bin  , Tenne ich einfach die Lan Verbindung zum Router  was bei Windows sehr umständlich ist .



Willkommen im Mittelalter.


----------



## colormix (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Wie sagt auf meinem  Linux PC mit einer Älteren VLC Version muss ich mir beim Abspielen keine Gedenken machen weil sich die Internet Lan  Verbindung manuell Abkoppeln lässt das ist nur ein Maus klick in der Tary Leiste  und das eh von Auto auf Manuell gestellt ist ,
was bei Windows so nicht geht !


----------



## FrozenPie (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

Also anscheinend ist der Fehler ein nicht existenter bzw. keiner des VLC Mediaplayers, sondern in einer Drittbibliothek vorhanden wo der Fehler schon vor 16 Monaten behoben wurde. Ist halt blöd, wenn man Fehler auf einer stark veralteten Linux Distribution sucht und dann seine eigenen Regeln ignoriert (Kontaktaufnahme mit Videolan nicht durchgeführt) 

VLC Media Player: CERT stuft Sicherheitsluecke als kritisch ein - ComputerBase


----------



## colormix (24. Juli 2019)

^ jeder schreibt was anderes , 
führt alles zu Verwirrung.

Von  einer Bundesbehörde die sich BSI nennt   von unseren  Steuer Geldern Finanzier wird kann man   mehr Aufklärung Erwarten als ein Waschzettel Text auf der BSI Web Seite .

Bei Linux ist gar nicht so einfach mit einer manipulierten Datei in einem Programm das Sicherheits Lecks hat überhaupt Root und Admi   Zugriffe zu bekommen, das wird natürlich nirgendwo erwähnt , kann gut sein das man bei Linux überhaupt nicht veranstalten  kann von Außen .

- Sicherheitswarnungen Verwirrung -


Zum Thema   Jeder schreibt was anderes ?

hier ist wieder was ganz anders zu lesen, 

Verwirrung um VLC-"Lücke", die offenbar keine Schwachstelle ist

Verwirrung um VLC-"Lücke", die offenbar keine Schwachstelle ist - WinFuture.de

Also man kann hier gut rum raten was nun stimmt und was nun nicht stimmt .

Das BSI behauptet   hier auf einem Waschzettel  Text wieder was anderes 

VLC Media Player: Verwirrung um angebliche Sicherheitsluecke - SPIEGEL ONLINE

Mal lesen was der  Spiegel schreibt ^^


----------



## INU.ID (24. Juli 2019)

*AW: Kritische Sicherheitslücke im VLC Player entdeckt*

*Es wurden wieder zahlreiche Beiträge entfernt. Klärt persönliche Probleme per PN !!!*

VLC Media Player: Kritische Lücke längst behoben, Fehler nicht bei Entwicklern


*Hier ist dann jetzt auch zu.

*closed**


----------

