1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Videolan: Eine VLC-Lücke, die keine…

Danke für die Richtigstellung!

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Danke für die Richtigstellung!

    Autor: Absurd 24.07.19 - 17:04

    War durch die (offensichtlich falschen/überzogenen) Meldungen der letzten Zeit dazu verwundert/verunsichert.

  2. Re: Danke für die Richtigstellung!

    Autor: Deff-Zero 24.07.19 - 18:07

    Unabhängig vom konkreten Problem ist aber eine Formulierung im Artikel wie

    "Diese nutzt der VLC-Player _lediglich_ als Abhängigkeit, [...]."

    aber extrem unglücklich. Es ist völlig egal, ob eine Sicherheitslücke im eigenen Code oder in dazugelinkten Frameworks steckt. Es bleibt eine Sicherheitslücke...



    1 mal bearbeitet, zuletzt am 24.07.19 18:08 durch Deff-Zero.

  3. Re: Danke für die Richtigstellung!

    Autor: Anonymer Nutzer 24.07.19 - 18:19

    ist sie ja wohl schon einige zeit nicht mehr, der fehler wurde ja beim verursacher (matroska) schon längst behoben, eine warnung für die verwendung verwendung älterer versionen wäre angebracht.

  4. Re: Danke für die Richtigstellung!

    Autor: Anonymer Nutzer 24.07.19 - 18:22

    Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde, hättest Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr behoben.

    Der jetzt in VLC entdeckte Memory Leak ist zwar lästig, aber keinesfalls eine kritische Sicherheitslücke, weil damit keine Code Execution möglich ist.

  5. Re: Danke für die Richtigstellung!

    Autor: Deff-Zero 24.07.19 - 19:40

    Quaoar schrieb:
    --------------------------------------------------------------------------------
    > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde, hättest
    > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > behoben.

    Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern über die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken die "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So eine Formulierung ist Quatsch.

  6. Re: Danke für die Richtigstellung!

    Autor: Deff-Zero 24.07.19 - 19:41

    Das tut nichts zur Sache. Ich bemängele weder VLC, noch eine Sicherheitslücke (oder auch Nicht-Lücke), sondern die Formulierung im Artikel.

  7. Re: Danke für die Richtigstellung!

    Autor: bytewarrior123 24.07.19 - 20:04

    Deff-Zero schrieb:
    --------------------------------------------------------------------------------
    > Quaoar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde,
    > hättest
    > > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > > behoben.
    >
    > Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern über
    > die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken die
    > "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So eine
    > Formulierung ist Quatsch.

    Eigentlich ist die Formulierung im gesamten Kontext dennoch richtig :
    eine veraltete Version von VLC in Zusammenhang mit einer (nicht durch oder von VLC abhängigen) EXTERNEN und ebenfalls veralteten Source bildet den Begriff "lediglich" ziemlich gut ab.

    Das ist ungefähr so, als ob das Kraftfahrtbundesamt einen Volvo aus den 70ern in Zusammenhang mit den von Volvo seinerzeit NICHT ausgelieferten Sicherheitsgurten zum Werkstattbesuch / Herstellerrückruf auffordert, da damit fälschlicherweise gemeldet der nicht vorhandene Airbag ausgelöst werden kann.

    In meinen Augen ist es für die CERT und NIST ein Armutszeugnis und stellt deren bis dato einwandfreien Leumund deutlich in Frage - nicht zu vergessen die ganzen "Boulevard"-Pressevertreter, die aus "Klickgeilheit" alles hinausposaunen, was Ihnen unter den Cursor kommt, egal ob wahr/richtig oder falsch.

    Die Meldung, das z.B. Fortigate in 6 Wochen das 2. kritische Fix für Ihr OS ausliefern, da damit die eigene gelieferte Infrastruktur extrem gefährlich manipulierbar ist, gab es in dem gleichen Zeitraum genau 1x, und zwar auf heise security. Da aber mit Fortigate jede Menge Unternehmen Ihre Netze absichern, ist diese Meldung in meinen Augen deutlich wichtiger als die zuletzt gemeldeten "Exploits" des CERT oder NIST....

  8. Re: Danke für die Richtigstellung!

    Autor: Dr.Glitch 24.07.19 - 21:41

    Deff-Zero schrieb:
    --------------------------------------------------------------------------------
    > Quaoar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde,
    > hättest
    > > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > > behoben.
    >
    > Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern über
    > die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken die
    > "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So eine
    > Formulierung ist Quatsch.

    Ich würde es in diesem Zusammenhang begrüßen wenn auf die Lücke in der Bibliothek hingewiesen würde. Wahllos eine Software herauspicken, die diese Bibliothek nutzt, um dann zu sagen, die Software hätte eine Lücke, ist unredlich.

  9. Re: Danke für die Richtigstellung!

    Autor: Vögelchen 24.07.19 - 23:55

    bytewarrior123 schrieb:

    > deren bis dato einwandfreien Leumund deutlich in Frage - nicht zu vergessen
    > die ganzen "Boulevard"-Pressevertreter, die aus "Klickgeilheit" alles
    > hinausposaunen, was Ihnen unter den Cursor kommt, egal ob wahr/richtig oder
    > falsch.

    Es gab mal eine Zeit, da gehörte heise.de nicht zum Boulevard.

    https://www.heise.de/security/meldung/Vorsicht-Kritische-Schwachstelle-in-aktueller-Version-von-VLC-Media-Player-4475712.html

  10. Re: Danke für die Richtigstellung!

    Autor: Anonymer Nutzer 25.07.19 - 00:40

    ja, das ist natürlich tendenzös, aber das war bei golem schon immer so ... wissenschatftlich inkorrekt (habe mich letenz erst daraüber aufgeregt dass 5g mobilfunk "[super]schnell" von golem verwurstet wurde obwohl das fachlich völlig daneben ist.



    1 mal bearbeitet, zuletzt am 25.07.19 00:43 durch ML82.

  11. Re: Danke für die Richtigstellung!

    Autor: gadthrawn 25.07.19 - 08:54

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > ist sie ja wohl schon einige zeit nicht mehr, der fehler wurde ja beim
    > verursacher (matroska) schon längst behoben, eine warnung für die
    > verwendung verwendung älterer versionen wäre angebracht.


    Woher weißt du das?

    Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not reproducible and does not crash VLC at all."

    Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht crasht?

    Wenn du allein den Bug verfolgst, crasht bei einigen in Windows der VLC Player, bei anderen nicht. Die VLC Exe kommt direkt von der VLC Projektwebseite.

    Wieso dann nach VLC ja das Problem bei einigen Linuxdistris die Abhängigkeiten nicht richtig mit mitnehmen liegt kannst du gerne erklären.

    Das Problem ist auch in 4 reported.. und danach sagen sie es ist ja schon in 3.0.3 behoben.

    Erklär das bitte auch mal.

  12. Re: Danke für die Richtigstellung!

    Autor: gadthrawn 25.07.19 - 09:02

    Dr.Glitch schrieb:
    --------------------------------------------------------------------------------
    > Deff-Zero schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Quaoar schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde,
    > > hättest
    > > > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > > > behoben.
    > >
    > > Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern
    > über
    > > die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken
    > die
    > > "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So
    > eine
    > > Formulierung ist Quatsch.
    >
    > Ich würde es in diesem Zusammenhang begrüßen wenn auf die Lücke in der
    > Bibliothek hingewiesen würde. Wahllos eine Software herauspicken, die diese
    > Bibliothek nutzt, um dann zu sagen, die Software hätte eine Lücke, ist
    > unredlich.

    Naja...

    1. VLC behauptet das Problem ist ab 3.0.3 behoben, die Ursprungsposter haben das Problem in 4.0 gezeigt.
    2. VLC sagt: nicht reproduzierbar. Leute haben es sporadisch in 3.0.8 gezeigt
    3. VLC sagt: das liegt an dem Einbinden einer lib unter Linux -> Schuld Distri. Leute zeigen das sporadisch unter Windows.

    Und das alles obwohl es nach VLC weder in den Versionen passieren soll, sie es nicht bei sich nachvollziehen können, sagen das crasht ja gar nicht, sondern macht maximal ein Memory leak ...

    Ja, der libebml Entwickler sagt, dass alte Versionen ein Problem haben. Aber das VLC dann wegen weitergereichter Daten von libebml crasht ist ein VLC Problem. Und das es auch noch crasht wenn eine Windows Version verwendet wird die von den VLC Leuten stammt - aber nicht auf jedem System (und natürlich nicht bei den VLC Leuten selbst) - da wirkt es als wären noch andere Probleme da.

  13. Re: Danke für die Richtigstellung!

    Autor: Rexatelis 25.07.19 - 10:00

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not
    > reproducible and does not crash VLC at all."
    >
    > Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht
    > crasht?

    Hä? Sie sagen, dass der VLC bei der manipulierten Datei nicht abstürzt und somit der Fehler nicht reproduzierbar ist. Das ist absolut logisch.

    > Wieso dann nach VLC ja das Problem bei einigen Linuxdistris die
    > Abhängigkeiten nicht richtig mit mitnehmen liegt kannst du gerne erklären.

    Es ist ganz einfach: libebml hatte in version 1.3.5 eine Sicherheitslücke, die vor fast 1 1/2 Jahren mit 1.3.6 behoben wurde. Dummerweise wurde aber kein CVE für die Sicherheitslücke erstellt und deshalb findet sich auf einem aktuell gepatchten Ubuntu 18.04 die verwundbare libebml 1.3.5.
    Schuld sind also nicht VLC oder Ubuntu, sondern libebml, wegen fehlender CVE.

  14. Re: Danke für die Richtigstellung!

    Autor: gadthrawn 25.07.19 - 16:02

    Rexatelis schrieb:
    --------------------------------------------------------------------------------
    > gadthrawn schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not
    > > reproducible and does not crash VLC at all."
    > >
    > > Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht
    > > crasht?
    >
    > Hä? Sie sagen, dass der VLC bei der manipulierten Datei nicht abstürzt und
    > somit der Fehler nicht reproduzierbar ist. Das ist absolut logisch.

    Und gleichzeitig schreiben einige drunter dass es abstürzt - also hat die VLC keinen Crash nachvollziehen können ( "Sorry, but this bug is not reproducible and does not crash VLC at all." und das es nicht crasht behauptet Jean die ganze Bahandlung hindurch. Wie immer: VLC kann keine Fehler haben.)

  15. Re: Danke für die Richtigstellung!

    Autor: Naresea 28.07.19 - 06:50

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > Rexatelis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > gadthrawn schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not
    > > > reproducible and does not crash VLC at all."
    > > >
    > > > Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht
    > > > crasht?
    > >
    > > Hä? Sie sagen, dass der VLC bei der manipulierten Datei nicht abstürzt
    > und
    > > somit der Fehler nicht reproduzierbar ist. Das ist absolut logisch.
    >
    > Und gleichzeitig schreiben einige drunter dass es abstürzt - also hat die
    > VLC keinen Crash nachvollziehen können ( "Sorry, but this bug is not
    > reproducible and does not crash VLC at all." und das es nicht crasht
    > behauptet Jean die ganze Bahandlung hindurch. Wie immer: VLC kann keine
    > Fehler haben.)

    Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er nicht reproduzierbar ist und nur sporadisch auftritt?

    In den Fehler-Logs kann man zwar suchen, aber wenn da auch nichts erkennbar ist dann bist du als Entwickler eben am Ende.

    Zumal die schiere Vebreitung von VLC eine echte Herausforderung ist... auf zig tausend Systemen mit unterschiedlicher Konfiguration, Hardware, OS, verschiedenen installierten Libraries, Treibern usw.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. GASAG AG, Berlin
  2. über Hays AG, Dortmund
  3. Psychiatrisches Zentrum Nordbaden, Wiesloch
  4. KRATZER AUTOMATION AG, Unterschleißheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 26,99€
  2. 6,50€
  3. 3,33€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme