Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Computer Emergency Response Team (CERT) warnten vor einer kritischen Sicherheitslücke im VLC Media Player und stuften diese mit der Risikobewertung „Hoch“ (Stufe 4) ein. Mittlerweile gibt es Entwarnung: Die Lücke bestand nur bis zur alten Version 3.0.3.

Aufgrund neuer Erkenntnisse gibt es Entwarnung. Titel und Einleitung wurden angepasst. Mehr Details stehen im Update am Ende der Meldung.

Aktuelle Version mit hohem Risikopotenzial für Remote-Attacken

Das BSI erstellt und veröffentlicht präventive Handlungsempfehlungen zur Schadensvermeidung und warnt nun vor einer kritischen Sicherheitslücke in der aktuellen Version 3.0.7.1 des beliebten Open Source Media Players. Laut Bundesbehörde besteht ein hohes Risikopotenzial für Remote-Attacken, bei denen anonyme Angreifer einen beliebigen Code auf dem kompromittierten System ausführen können. Die Sicherheitslücke betrifft Systeme mit Microsoft Windows, Unix und Linux-Distributionen.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren. BSI

Auch die US-Regierung warnt in der National Vulnerability Database (NVD), ihrem Katalog für Sicherheitslücken, vor der Bedrohung. Dem Report ist zudem zu entnehmen, dass die Komplexität eines Angriffs vergleichsweise niedrig ist und ein potenzieller Angreifer keine speziellen Zugriffsrechte benötigt. Auch sie stuft die Sicherheitslücke mit einer Bewertung von 9,8 als kritisch ein.

Bisher hat VideoLAN, die gemeinnützige Organisation hinter dem VLC Media Player, noch kein Sicherheitsupdate angekündigt. Da bereits die Versionsnummer 3.0.6 (und älter) anfällig für eingeschleusten Schadcode war, empfiehlt die Behörde Anwendern vorerst auf einen anderen Media Player auszuweichen. Über einen aktiven Angriff auf VLC 3.0.7.1 ist bislang jedoch noch nichts bekannt.