1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Videolan: Eine VLC-Lücke, die keine…

Danke für die Richtigstellung!

  1. Thema

Neues Thema Ansicht wechseln


  1. Danke für die Richtigstellung!

    Autor: Absurd 24.07.19 - 17:04

    War durch die (offensichtlich falschen/überzogenen) Meldungen der letzten Zeit dazu verwundert/verunsichert.

  2. Re: Danke für die Richtigstellung!

    Autor: Deff-Zero 24.07.19 - 18:07

    Unabhängig vom konkreten Problem ist aber eine Formulierung im Artikel wie

    "Diese nutzt der VLC-Player _lediglich_ als Abhängigkeit, [...]."

    aber extrem unglücklich. Es ist völlig egal, ob eine Sicherheitslücke im eigenen Code oder in dazugelinkten Frameworks steckt. Es bleibt eine Sicherheitslücke...



    1 mal bearbeitet, zuletzt am 24.07.19 18:08 durch Deff-Zero.

  3. Re: Danke für die Richtigstellung!

    Autor: Anonymer Nutzer 24.07.19 - 18:19

    ist sie ja wohl schon einige zeit nicht mehr, der fehler wurde ja beim verursacher (matroska) schon längst behoben, eine warnung für die verwendung verwendung älterer versionen wäre angebracht.

  4. Re: Danke für die Richtigstellung!

    Autor: Quaoar 24.07.19 - 18:22

    Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde, hättest Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr behoben.

    Der jetzt in VLC entdeckte Memory Leak ist zwar lästig, aber keinesfalls eine kritische Sicherheitslücke, weil damit keine Code Execution möglich ist.

  5. Re: Danke für die Richtigstellung!

    Autor: Deff-Zero 24.07.19 - 19:40

    Quaoar schrieb:
    --------------------------------------------------------------------------------
    > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde, hättest
    > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > behoben.

    Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern über die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken die "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So eine Formulierung ist Quatsch.

  6. Re: Danke für die Richtigstellung!

    Autor: Deff-Zero 24.07.19 - 19:41

    Das tut nichts zur Sache. Ich bemängele weder VLC, noch eine Sicherheitslücke (oder auch Nicht-Lücke), sondern die Formulierung im Artikel.

  7. Re: Danke für die Richtigstellung!

    Autor: bytewarrior123 24.07.19 - 20:04

    Deff-Zero schrieb:
    --------------------------------------------------------------------------------
    > Quaoar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde,
    > hättest
    > > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > > behoben.
    >
    > Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern über
    > die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken die
    > "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So eine
    > Formulierung ist Quatsch.

    Eigentlich ist die Formulierung im gesamten Kontext dennoch richtig :
    eine veraltete Version von VLC in Zusammenhang mit einer (nicht durch oder von VLC abhängigen) EXTERNEN und ebenfalls veralteten Source bildet den Begriff "lediglich" ziemlich gut ab.

    Das ist ungefähr so, als ob das Kraftfahrtbundesamt einen Volvo aus den 70ern in Zusammenhang mit den von Volvo seinerzeit NICHT ausgelieferten Sicherheitsgurten zum Werkstattbesuch / Herstellerrückruf auffordert, da damit fälschlicherweise gemeldet der nicht vorhandene Airbag ausgelöst werden kann.

    In meinen Augen ist es für die CERT und NIST ein Armutszeugnis und stellt deren bis dato einwandfreien Leumund deutlich in Frage - nicht zu vergessen die ganzen "Boulevard"-Pressevertreter, die aus "Klickgeilheit" alles hinausposaunen, was Ihnen unter den Cursor kommt, egal ob wahr/richtig oder falsch.

    Die Meldung, das z.B. Fortigate in 6 Wochen das 2. kritische Fix für Ihr OS ausliefern, da damit die eigene gelieferte Infrastruktur extrem gefährlich manipulierbar ist, gab es in dem gleichen Zeitraum genau 1x, und zwar auf heise security. Da aber mit Fortigate jede Menge Unternehmen Ihre Netze absichern, ist diese Meldung in meinen Augen deutlich wichtiger als die zuletzt gemeldeten "Exploits" des CERT oder NIST....

  8. Re: Danke für die Richtigstellung!

    Autor: Dr.Glitch 24.07.19 - 21:41

    Deff-Zero schrieb:
    --------------------------------------------------------------------------------
    > Quaoar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde,
    > hättest
    > > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > > behoben.
    >
    > Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern über
    > die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken die
    > "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So eine
    > Formulierung ist Quatsch.

    Ich würde es in diesem Zusammenhang begrüßen wenn auf die Lücke in der Bibliothek hingewiesen würde. Wahllos eine Software herauspicken, die diese Bibliothek nutzt, um dann zu sagen, die Software hätte eine Lücke, ist unredlich.

  9. Re: Danke für die Richtigstellung!

    Autor: Vögelchen 24.07.19 - 23:55

    bytewarrior123 schrieb:

    > deren bis dato einwandfreien Leumund deutlich in Frage - nicht zu vergessen
    > die ganzen "Boulevard"-Pressevertreter, die aus "Klickgeilheit" alles
    > hinausposaunen, was Ihnen unter den Cursor kommt, egal ob wahr/richtig oder
    > falsch.

    Es gab mal eine Zeit, da gehörte heise.de nicht zum Boulevard.

    https://www.heise.de/security/meldung/Vorsicht-Kritische-Schwachstelle-in-aktueller-Version-von-VLC-Media-Player-4475712.html

  10. Re: Danke für die Richtigstellung!

    Autor: Anonymer Nutzer 25.07.19 - 00:40

    ja, das ist natürlich tendenzös, aber das war bei golem schon immer so ... wissenschatftlich inkorrekt (habe mich letenz erst daraüber aufgeregt dass 5g mobilfunk "[super]schnell" von golem verwurstet wurde obwohl das fachlich völlig daneben ist.



    1 mal bearbeitet, zuletzt am 25.07.19 00:43 durch ML82.

  11. Re: Danke für die Richtigstellung!

    Autor: gadthrawn 25.07.19 - 08:54

    ML82 schrieb:
    --------------------------------------------------------------------------------
    > ist sie ja wohl schon einige zeit nicht mehr, der fehler wurde ja beim
    > verursacher (matroska) schon längst behoben, eine warnung für die
    > verwendung verwendung älterer versionen wäre angebracht.


    Woher weißt du das?

    Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not reproducible and does not crash VLC at all."

    Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht crasht?

    Wenn du allein den Bug verfolgst, crasht bei einigen in Windows der VLC Player, bei anderen nicht. Die VLC Exe kommt direkt von der VLC Projektwebseite.

    Wieso dann nach VLC ja das Problem bei einigen Linuxdistris die Abhängigkeiten nicht richtig mit mitnehmen liegt kannst du gerne erklären.

    Das Problem ist auch in 4 reported.. und danach sagen sie es ist ja schon in 3.0.3 behoben.

    Erklär das bitte auch mal.

  12. Re: Danke für die Richtigstellung!

    Autor: gadthrawn 25.07.19 - 09:02

    Dr.Glitch schrieb:
    --------------------------------------------------------------------------------
    > Deff-Zero schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Quaoar schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wenn VLC noch eine verwundbare Version der Bibliothek nutzen würde,
    > > hättest
    > > > Du ja recht. Der Fehler ist aber in der Bibliothek seit einem Jahr
    > > > behoben.
    > >
    > > Himmel. Ich rede nicht über diese konkrete Sicherheitslücke, sondern
    > über
    > > die Formulierung im Artikel. Diese impliziert, dass Sicherheitslücken
    > die
    > > "lediglich" in verwendetem Fremdcode sind, weniger schlimm seien. So
    > eine
    > > Formulierung ist Quatsch.
    >
    > Ich würde es in diesem Zusammenhang begrüßen wenn auf die Lücke in der
    > Bibliothek hingewiesen würde. Wahllos eine Software herauspicken, die diese
    > Bibliothek nutzt, um dann zu sagen, die Software hätte eine Lücke, ist
    > unredlich.

    Naja...

    1. VLC behauptet das Problem ist ab 3.0.3 behoben, die Ursprungsposter haben das Problem in 4.0 gezeigt.
    2. VLC sagt: nicht reproduzierbar. Leute haben es sporadisch in 3.0.8 gezeigt
    3. VLC sagt: das liegt an dem Einbinden einer lib unter Linux -> Schuld Distri. Leute zeigen das sporadisch unter Windows.

    Und das alles obwohl es nach VLC weder in den Versionen passieren soll, sie es nicht bei sich nachvollziehen können, sagen das crasht ja gar nicht, sondern macht maximal ein Memory leak ...

    Ja, der libebml Entwickler sagt, dass alte Versionen ein Problem haben. Aber das VLC dann wegen weitergereichter Daten von libebml crasht ist ein VLC Problem. Und das es auch noch crasht wenn eine Windows Version verwendet wird die von den VLC Leuten stammt - aber nicht auf jedem System (und natürlich nicht bei den VLC Leuten selbst) - da wirkt es als wären noch andere Probleme da.

  13. Re: Danke für die Richtigstellung!

    Autor: Rexatelis 25.07.19 - 10:00

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not
    > reproducible and does not crash VLC at all."
    >
    > Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht
    > crasht?

    Hä? Sie sagen, dass der VLC bei der manipulierten Datei nicht abstürzt und somit der Fehler nicht reproduzierbar ist. Das ist absolut logisch.

    > Wieso dann nach VLC ja das Problem bei einigen Linuxdistris die
    > Abhängigkeiten nicht richtig mit mitnehmen liegt kannst du gerne erklären.

    Es ist ganz einfach: libebml hatte in version 1.3.5 eine Sicherheitslücke, die vor fast 1 1/2 Jahren mit 1.3.6 behoben wurde. Dummerweise wurde aber kein CVE für die Sicherheitslücke erstellt und deshalb findet sich auf einem aktuell gepatchten Ubuntu 18.04 die verwundbare libebml 1.3.5.
    Schuld sind also nicht VLC oder Ubuntu, sondern libebml, wegen fehlender CVE.

  14. Re: Danke für die Richtigstellung!

    Autor: gadthrawn 25.07.19 - 16:02

    Rexatelis schrieb:
    --------------------------------------------------------------------------------
    > gadthrawn schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not
    > > reproducible and does not crash VLC at all."
    > >
    > > Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht
    > > crasht?
    >
    > Hä? Sie sagen, dass der VLC bei der manipulierten Datei nicht abstürzt und
    > somit der Fehler nicht reproduzierbar ist. Das ist absolut logisch.

    Und gleichzeitig schreiben einige drunter dass es abstürzt - also hat die VLC keinen Crash nachvollziehen können ( "Sorry, but this bug is not reproducible and does not crash VLC at all." und das es nicht crasht behauptet Jean die ganze Bahandlung hindurch. Wie immer: VLC kann keine Fehler haben.)

  15. Re: Danke für die Richtigstellung!

    Autor: Naresea 28.07.19 - 06:50

    gadthrawn schrieb:
    --------------------------------------------------------------------------------
    > Rexatelis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > gadthrawn schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Die Leute von VLC vermuten nachdem sie gesagt haben: " this bug is not
    > > > reproducible and does not crash VLC at all."
    > > >
    > > > Also nicht reproduzierbar und trotzdem wissen die schon dass VLC nicht
    > > > crasht?
    > >
    > > Hä? Sie sagen, dass der VLC bei der manipulierten Datei nicht abstürzt
    > und
    > > somit der Fehler nicht reproduzierbar ist. Das ist absolut logisch.
    >
    > Und gleichzeitig schreiben einige drunter dass es abstürzt - also hat die
    > VLC keinen Crash nachvollziehen können ( "Sorry, but this bug is not
    > reproducible and does not crash VLC at all." und das es nicht crasht
    > behauptet Jean die ganze Bahandlung hindurch. Wie immer: VLC kann keine
    > Fehler haben.)

    Selbst wenn es den Bug irgendwo im VLC gibt: was sollen die Entwickler tun, wenn er nicht reproduzierbar ist und nur sporadisch auftritt?

    In den Fehler-Logs kann man zwar suchen, aber wenn da auch nichts erkennbar ist dann bist du als Entwickler eben am Ende.

    Zumal die schiere Vebreitung von VLC eine echte Herausforderung ist... auf zig tausend Systemen mit unterschiedlicher Konfiguration, Hardware, OS, verschiedenen installierten Libraries, Treibern usw.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. AOK Nordost - Die Gesundheitskasse, Berlin
  2. Tröger & Cie. Aktiengesellschaft, Raum Bremen
  3. Stadtverwaltung Bretten, Bretten
  4. Endress+Hauser Conducta GmbH+Co. KG, Gerlingen (bei Stuttgart)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 90,99€ (Bestpreis)
  2. (u. a. 256GB microSDXC für 52,99€, 128GB für 24,39€ und 512 GB für 114,99€)
  3. 304,99€ (Vergleichspreis 379,00€)
  4. (u. a. The Inner World für 9,99€, Steel Division: Normandy 44 für 53,99€, Urban Empire für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf

30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

  1. Cirrus7 Incus A300 im Test: Lautloses Ryzen-Genie aus Deutschland
    Cirrus7 Incus A300 im Test
    Lautloses Ryzen-Genie aus Deutschland

    Passiv gekühlt aus heimischer Produktion: Wer den Incus A300 von Cirrus7 kauft, erhält einen Ryzen-basierten Mini-PC, der durchweg lautlos arbeitet. Besonders die clevere Kühlung ist außergewöhnlich - neben APU und Spannungswandlern hält sie auch zwei SSDs auf Temperatur.

  2. Gutachten zu Emotet: Datenabfluss beim Berliner Kammergericht
    Gutachten zu Emotet
    Datenabfluss beim Berliner Kammergericht

    Anfangs hieß es, dass bei dem Schadsoftware-Befall des Berliner Kammergerichts keine Daten abgegriffen wurden. Doch ein unveröffentlichtes Gutachten kommt nun zu einem anderen Schluss. Neben einem Datenabfluss wirft es kein gutes Licht auf die IT-Infrastruktur des Gerichts.

  3. Für Akkuzellfertigung: Tesla beantragt Subventionen bei der Bundesregierung
    Für Akkuzellfertigung
    Tesla beantragt Subventionen bei der Bundesregierung

    Akkuzellen gelten als Schlüsseltechnologie für die Energiewende und die Elektromobilität, für den Aufbau von Fertigungskapazitäten kann es eine staatliche Förderung geben. Entsprechend soll Tesla für den Bau seiner Gigafactory in Brandenburg Subventionen beantragt haben.


  1. 12:00

  2. 11:56

  3. 11:42

  4. 11:17

  5. 10:52

  6. 10:26

  7. 09:38

  8. 09:00