Letzte Woche (
Nachrichten ) wurde eine beliebte Sicherheitslücke im beliebten VLC Media Player ausführlich diskutiert. Informationen zu diesem Problem wurden in das Register des deutschen
CERT-Bundes und der US
National Vulnerability Database aufgenommen . Anfänglich erhielt die Sicherheitsanfälligkeit CVE-2019-13615 eine Bewertung von 9,8, dh sie wurde als die gefährlichste eingestuft.
Das Problem ist auf einen Lesefehler zurückzuführen, der über die Grenzen des Puffers im Heap hinausgeht und beim Abspielen eines Videos auftreten kann. Wenn dies menschlicher erklärt wird, können Sie die vorbereitete .mkv-Datei an das Opfer senden und durch die Ausführung von beliebigem Code die Kontrolle über das System erlangen. Diese Nachricht ist ein guter Grund, über Probleme in der Software zu sprechen, die anscheinend keine ernsthaften Risiken für Ihren Computer darstellen. Aber diesmal nicht: Anscheinend hat der Forscher, der die Sicherheitsanfälligkeit gemeldet hat, einen Fehler gemacht und die neueste Version von VLC einem Problem zugeschrieben, das ausschließlich in seiner Linux-Distribution bestand. Daher widmet sich der heutige Beitrag Missverständnissen und sensationellen Schlagzeilen.
Alles begann vor fünf Wochen mit
diesem Ticket im VLC Bug Tracker. Der Benutzer topsec (zhangwy) hat ohne weitere Beschreibung die MP4-Datei hochgeladen, wodurch der Player abstürzt. Dort lag diese Nachricht eine Weile ohne Aufmerksamkeit, während Informationen über die Sicherheitsanfälligkeit (niemand weiß, welche) irgendwie in die NIST NVD- und CERT Bund-Datenbanken gelangten. Danach haben sich die Entwickler den Fehlerbericht angesehen - und konnten den Angriff auf die neueste Version des Media Players nicht reproduzieren.
In der Zwischenzeit schrieben die Medien über die Sicherheitslücke in Bezug auf den CERT-Bund, und
niemand war mit den dortigen Schlagzeilen
schüchtern . VLC jetzt entfernen! Eine schreckliche Sicherheitslücke, für die es keinen Patch gibt!
Alles ist sehr schlecht ! Im Allgemeinen wird großen Organisationen, die eine Registrierung von Sicherheitslücken in Software führen, normalerweise vertraut. In diesem Fall wurde jedoch der normale Prozess der Erkennung eines Problems und der Suche nach einer Lösung dafür unterbrochen.
Was genau schief gelaufen ist, sagten VideoLan-Entwickler in einer Reihe von Tweets im offiziellen Account (wir empfehlen, dass Sie den gesamten
Thread lesen, die Entwickler waren sehr wütend und schämten sich nicht in Ausdrücken). Zunächst
fordert VLC
die Forscher dringend auf, dem öffentlichen Tracker keine Schwachstellen zu melden. Aus offensichtlichen Gründen: Wenn ein wirklich ernstes Problem entdeckt wird, sollten Entwickler Zeit haben, es zu beheben. Der erste Topsec-Benutzerfehlerbericht wurde in den öffentlichen Teil des Trackers aufgenommen.
Zweitens meldete sich der Initiator des Bugreports nicht, als er versuchte, Einzelheiten mit ihm zu klären. Drittens haben die NIST NVD-Basisbetreuer Informationen zu Sicherheitslücken hinzugefügt und eine nahezu maximale Gefährdungsbewertung zugewiesen, ohne die VLC-Entwickler zu konsultieren. Der CERT-Bund tat dasselbe, woraufhin die Medien das Thema aufnahmen.
Gab es eine Sicherheitslücke? Es war! In der
libebml- Bibliothek, die Teil des Open-Source-Projekts
Matroska.org ist . VLC greift beim Parsen von MKV-Dateien auf diese Bibliothek zu, die im Exploit verwendeten Schwachstellen wurden jedoch im April 2018 in Version 1.3.6 geschlossen. Ab Version 3.0.3 verwendet VLC selbst eine aktualisierte Bibliothek. Es dauerte eine sehr seltene Kombination des relativ alten und anscheinend nicht aktualisierbaren Ubuntu-Systems mit der alten Libebml-Bibliothek und dem neuen Player, um den Angriff zu implementieren. Es ist klar, dass eine solche Konfiguration für normale Benutzer unwahrscheinlich ist, und VLC hat sowieso nichts damit zu tun - seit mehr als einem Jahr.
Die letzte Nachricht des Autors des ursprünglichen Fehlerberichts sieht folgendermaßen aus: "Es tut Ihnen leid, wenn das so ist." Die tatsächliche Sicherheitsanfälligkeit mit ähnlichen Eigenschaften wurde jedoch in der
aktuellen Version VLC 3.0.7 zum Zeitpunkt der Veröffentlichung des Digests geschlossen. Es war auch in der von VLC verwendeten offenen Bibliothek enthalten und führte zur Ausführung von beliebigem Code beim Öffnen der vorbereiteten Datei. Es wurde dank der
Initiative der Europäischen Union entdeckt, Schwachstellen in populären (und von Regierungsbehörden genutzten) Open-Source-Projekten zu belohnen. Zusätzlich zu VLC wurden Notepad ++, Putty und FileZilla in die Liste der Software aufgenommen.
Im Allgemeinen geht es bei Sicherheit mehr um einen Prozess als um ein Ergebnis. Die Qualität dieses Prozesses wird nicht durch hochkarätige Schlagzeilen in den Medien bestimmt, sondern bei Ihrem PC durch mindestens regelmäßige Software-Updates. Probleme können überall auftreten, und die Tatsache, dass sich die VLC-Sicherheitsanfälligkeit als Fälschung herausgestellt hat, macht es nicht unnötig, Programme ständig zu aktualisieren. Sogar diejenigen, die so zu funktionieren scheinen und nicht als gefährlich empfunden werden. Dazu gehört beispielsweise der WinRAR-Archivierer, in dem vor einigen Monaten eine sehr alte
kritische Sicherheitslücke gefunden wurde. Das Deaktivieren von VLC-Update-Erinnerungen lohnt sich ebenfalls nicht, obwohl dies viele tun. Eine relativ aktuelle Avast-Studie im Januar dieses Jahres
ergab, dass zu diesem Zeitpunkt nur 6% der Benutzer die aktuelle Version von VLC installiert hatten.
VLC-Entwickler mögen die Praxis im Prinzip nicht, wenn Schwachstellen bei der Ausführung von beliebigem Code die maximale Gefahrenbewertung zugewiesen werden. In den meisten Fällen ist der eigentliche Betrieb eines solchen Lochs schwierig: Das Opfer muss die erforderliche Datei (oder einen Link zum Streaming-Video) senden und zum Öffnen zwingen und nicht nur den Absturz des Programms, sondern auch die Ausführung des Codes und sogar die erforderlichen Berechtigungen verursachen, die nicht die Tatsache sind, dass kann bekommen. Dies ist eine interessante theoretische Version eines gezielten Angriffs, aber bisher unwahrscheinlich.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.