image

VLC media player niet kwetsbaar door "nieuw beveiligingslek"

woensdag 24 juli 2019, 16:32 door Redactie, 5 reacties

Verschillende nieuwssites hebben de afgelopen dagen bericht over een nieuw beveiligingslek in VLC media player waardoor het mogelijk is voor een aanvaller om systemen in het ergste geval over te nemen. Dat is niet het geval, zo heeft VideoLAN laten weten, de ontwikkelaar van VLC.

De kwetsbaarheid bevindt zich in een third-party library waar de mediaspeler gebruik van maakt. Het probleem is alleen meer dan zestien maanden geleden al in VLC gepatcht. Het beveiligingslek werd door iemand gerapporteerd die een oude versie van Ubuntu gebruikte. Hoewel het geen nieuwe kwetsbaarheid betreft besloot MITRE toch een nieuw CVE-nummer voor dit lek uit te geven. Via het CVE-nummer kan de kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. MITRE kent deze CVE-nummers toe.

Volgens VideoLAN had MITRE nooit een CVE-nummer voor dit lek mogen uitgeven. Ook haalt de VLC-ontwikkelaar op Twitter uit naar de Duitse overheid, dat met een beveiligingsbulletin voor de kwetsbaarheid kwam. Er was echter geen contact met VideoLAN opgenomen en ook het beveiligingslek was niet onderzocht. Als laatste hekelt VideoLAN de website Gizmodo die gebruikers zelfs opriep om VLC te verwijderen.

Image

Reacties (5)
24-07-2019, 16:41 door Anoniem

Via het CVE-nummer kan de kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. MITRE kent deze CVE-nummers toe.

Volgens VideoLAN had MITRE nooit een CVE-nummer voor dit lek mogen uitgeven.

En je kunt er ook zo fijn leveranciers mee chanteren, en jezelf op de borst kloppen!
Ik denk niet dat het lek in detail wordt bestudeerd en er kritisch wordt gekeken naar de ernst ervan alvorens dit nummer
wordt uitgegeven en er vervolgens mee gewapperd kan worden eerst tegen de leverancier en dan tegen de wereld.
Of wel?
24-07-2019, 16:59 door Power2All
Dat is best wel pijnlijk.
Een security issue dat al lang en breedt was opgelost...
24-07-2019, 18:49 door Anoniem
Kleinigheidje is dus wel dat die “oude ubuntu versie” gewoon 18.04, de huidige LTS release is.

Nou zal dat dus een ubuntu fix zijn, maar dat als oude versie afdoen is een beetje te gemakkelijk.
25-07-2019, 07:45 door spatieman
VLC is op zicht best wel goed, zij het dat het ding een shitload aan tijd nodig heeft om te starten.
25-07-2019, 10:32 door Anoniem
Door spatieman: VLC is op zicht best wel goed, zij het dat het ding een shitload aan tijd nodig heeft om te starten.
Als je op een pentium 2 werkt wel ja :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.