image

Kwetsbaarheid in VLC media player maakt remote code execution mogelijk

maandag 5 december 2022, 11:28 door Redactie, 18 reacties

Er is een nieuwe versie van de populaire mediaspeler VLC media player verschenen die meerdere kwetsbaarheden verhelpt, waaronder een beveiligingslek dat remote code execution mogelijk maakt. Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.

VLC 3.0.18 verhelpt meerdere problemen die kunnen leiden tot een denial of service of crashes. Een kwetsbaarheid verdient de meeste aandacht. Wanneer een gebruiker een malafide vnc-link opent kan dit leiden tot een buffer overflow en een aanvaller code op het systeem laten uitvoeren. Gebruikers wordt dan ook aangeraden om naar de nieuwste versie te updaten.

Didier Stevens van het Intern Storm Center laat weten dat bij verschillende Windows-versies de updateserver ten onrechte meldt dat er geen nieuwe versie beschikbaar is, waardoor gebruikers met een kwetsbare versie blijven werken. VLC-ontwikkelaar VideoLAN is hierover ingelicht. Gebruikers kunnen de nieuwste versie ook zelf downloaden via VideoLAN.org.

Reacties (18)
05-12-2022, 12:14 door Anoniem
Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.
Dat is alleen onder windows zo omdat het updaten daar waardeloos is georganiseerd zodat pakketten zelf maar proberen te updaten wat nu dus fout ging. Onder Linux komt VLC gewoon automatisch uit een repository en niet de software zelf.
05-12-2022, 13:19 door Anoniem
Die Linux repositories hebben overigens ook de eigenschap nog lang een verouderde versie aan te bieden, Windows bashen is een leuke hobby maar Linux is ook een bewegend doel!
05-12-2022, 13:32 door Anoniem
Door Anoniem:
Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.
Dat is alleen onder windows zo omdat het updaten daar waardeloos is georganiseerd zodat pakketten zelf maar proberen te updaten wat nu dus fout ging. Onder Linux komt VLC gewoon automatisch uit een repository en niet de software zelf.
Stop eens met dat getrol!
05-12-2022, 13:58 door Anoniem
Door Anoniem:
Door Anoniem:
Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.
Dat is alleen onder windows zo omdat het updaten daar waardeloos is georganiseerd zodat pakketten zelf maar proberen te updaten wat nu dus fout ging. Onder Linux komt VLC gewoon automatisch uit een repository en niet de software zelf.
Stop eens met dat getrol!
Hoezo Microft fan? Het onderliggende probleem wordt toch aangekaart! Dat programma's (zie ook Adobe en Google) zichzelf gaan updaten uit nood komt omdat windows dat niet faciliteert. Dat is inderdaad waardeloos.
05-12-2022, 14:12 door Anoniem
Door Anoniem: Die Linux repositories hebben overigens ook de eigenschap nog lang een verouderde versie aan te bieden, Windows bashen is een leuke hobby maar Linux is ook een bewegend doel!
Ah LInux bashen niet doen joh. Het beweegt tenminste!
Ik zie hier in mijn RPM Fusion Free Updates repos 3.0.18 staan. Up2date dus: https://www.videolan.org/vlc/download-fedora.html Geen waardeloze constructies zodat applicaties zichzelf gaan proberen te updaten.
Daarnaast zijn er veel mooi oplossingen zoals flatpack voor de latest greatest https://flatpak.org/. en https://flathub.org/apps/details/org.videolan.VLC Updated November 8, 2022
05-12-2022, 14:53 door johanw
Door Anoniem:
Hoezo Microft fan? Het onderliggende probleem wordt toch aangekaart! Dat programma's (zie ook Adobe en Google) zichzelf gaan updaten uit nood komt omdat windows dat niet faciliteert. Dat is inderdaad waardeloos.

MS is er nu mee bezig met hun appstore, maar mensen die om privacy geven zitten daar niet altijd op te wachten, net zoals bij Google (bij Apple kun je er helaas niet omheen zonder veel kunstgrepen).

En die Linux repositories zijn vaak ook knap waardeloos: bieden vaak een antieke versie aan, of passen eigen patches toe op open source software die weer voor eigen problemen zorgen. Iets als GnuPG compileer ik onder Linux uit source, dan weet ik tenminste zeker welke versie ik heb en welke libraries er meegeluinkt worden.
05-12-2022, 15:46 door -Peter-
Door Anoniem:
Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.
Dat is alleen onder windows zo omdat het updaten daar waardeloos is georganiseerd zodat pakketten zelf maar proberen te updaten wat nu dus fout ging. Onder Linux komt VLC gewoon automatisch uit een repository en niet de software zelf.

Maar alleen als de beheerder van die repository de nieuwe versie klaar heeft gezet. Dat gebeurt niet altijd en zelden met obscure software die gebruikers vanuit een andere bron hebben geinstalleerd.

Bij mij meldt VLC, op windows, gewoon dat er een nieuwe versie is waar een security issue (in het rood) mee wordt opgelost.

Peter
05-12-2022, 16:07 door Anoniem
Door johanw: En die Linux repositories zijn vaak ook knap waardeloos: bieden vaak een antieke versie aan, of passen eigen patches toe op open source software die weer voor eigen problemen zorgen. Iets als GnuPG compileer ik onder Linux uit source, dan weet ik tenminste zeker welke versie ik heb en welke libraries er meegeluinkt worden.

Beter een update met een fantasie-versienummer dan helemaal geen update.

En beter een update uit de repository dan zelf gaan knoeien met source code. GnuPG 2 is niet makkelijk zelf te compileren als ik het goed heb. De reden dat Gpg4Win een eigen site heeft, is omdat GnuPG 2 zo moeilijk te compileren is. Ik zou het niet zelf doen. Niet iets wat je veiligheid en privacy raakt (en die van degenen waarmee je communiceert).
05-12-2022, 17:33 door Anoniem
Door Anoniem:
Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.
Dat is alleen onder windows zo omdat het updaten daar waardeloos is georganiseerd zodat pakketten zelf maar proberen te updaten wat nu dus fout ging. Onder Linux komt VLC gewoon automatisch uit een repository en niet de software zelf.
Jij hebt zeker nog niet gehoord van winget —update —all
05-12-2022, 17:34 door Power2All - Bijgewerkt: 05-12-2022, 17:35
Linux ben ik voorstander van, maar het heeft te weinig ondersteuning van bijv. VR en noem maar op, anders was ik al lang overgeschakeld.
Repositories lopen grotendeels achter, waardoor je vaak nog steeds met oude meuk bezig bent in Linux. Wel kun je makkelijk een RPM/DEB bestandje installeren. Er zijn "custom" repositories die wel vaak bij de nieuwste versies willen zitten, maar is ook niet altijd het geval.
05-12-2022, 18:48 door Anoniem
Door Power2All: Linux ben ik voorstander van, maar het heeft te weinig ondersteuning van bijv. VR en noem maar op, anders was ik al lang overgeschakeld.
Repositories lopen grotendeels achter, waardoor je vaak nog steeds met oude meuk bezig bent in Linux. Wel kun je makkelijk een RPM/DEB bestandje installeren. Er zijn "custom" repositories die wel vaak bij de nieuwste versies willen zitten, maar is ook niet altijd het geval.
Jow VR heeft niks met het onderwerp te maken maar meer met een vendorlock van een leverancier? . Repositories lopen helemaal niet achter, heeft ook niks met Linux te maken maar met de ontwikkelaar van de software fabrikant. Je hebt het punt niet begrepen. Voor windows kan je de software overal zelf vandaan harken (windows appstore schiet niet op) waardoor software zichzelf wilt updaten. Onder Linux gebruik je een repository bv in dit VLC geval rpmfusion.org en automatisch geinstalleerd dezelfde dag na beschikbaar komen (was namelijk door de leverancier al goed getest, wat onder windows vaak niet mogelijk is door de geheime source code)
05-12-2022, 18:53 door Anoniem
Door -Peter-:
Door Anoniem:
Op sommige systemen geeft de software echter ten onrechte aan dat er geen update beschikbaar is, wat inhoudt dat gebruikers handmatig moeten updaten.
Dat is alleen onder windows zo omdat het updaten daar waardeloos is georganiseerd zodat pakketten zelf maar proberen te updaten wat nu dus fout ging. Onder Linux komt VLC gewoon automatisch uit een repository en niet de software zelf.

Maar alleen als de beheerder van die repository de nieuwe versie klaar heeft gezet. Dat gebeurt niet altijd en zelden met obscure software die gebruikers vanuit een andere bron hebben geinstalleerd.

Bij mij meldt VLC, op windows, gewoon dat er een nieuwe versie is waar een security issue (in het rood) mee wordt opgelost.

Peter
Voor veel gebruikers niet want Didier Stevens van het Intern Storm Center laat weten dat bij verschillende Windows-versies de updateserver ten onrechte meldt dat er geen nieuwe versie beschikbaar is, waardoor gebruikers met een kwetsbare versie blijven werken. IK vind het ook van de zotte dat je update mechanisme afhangt van de applicatie zelf. Hoe krijgen ze het verzonnen. Als ik VLC was zou ik hier mee kappen.
05-12-2022, 19:02 door Anoniem
Door johanw:
Door Anoniem:
Hoezo Microft fan? Het onderliggende probleem wordt toch aangekaart! Dat programma's (zie ook Adobe en Google) zichzelf gaan updaten uit nood komt omdat windows dat niet faciliteert. Dat is inderdaad waardeloos.

MS is er nu mee bezig met hun appstore, maar mensen die om privacy geven zitten daar niet altijd op te wachten, net zoals bij Google (bij Apple kun je er helaas niet omheen zonder veel kunstgrepen).

En die Linux repositories zijn vaak ook knap waardeloos: bieden vaak een antieke versie aan, of passen eigen patches toe op open source software die weer voor eigen problemen zorgen. Iets als GnuPG compileer ik onder Linux uit source, dan weet ik tenminste zeker welke versie ik heb en welke libraries er meegeluinkt worden.
Als je een goed ondersteunde repository heb (bv epel voor redhat ecosyteem) heb je geen problemen. Dat is allemaal goed getest en vervangt geen software van de distro zelf juist om problemen te voorkomen.
Als je toch te latest greatest wilt verwacht dan niet de meest stabiele omgeving vooral als je er zelf mee knoeit zoals jij blijkbaar met GnuPG. B.t.w. in een enterprise wordt dit soort eigen geknoei echt niet getolereerd (je kan het niet eens opstarten vanuit je home of tmp directory om dat is afgevangen met een policy.
05-12-2022, 19:48 door Anoniem
"Waardeloze meuk, waardeloze packets die outdated zijn...".

Mensen, houd je eens bij de les! Als een kritieke kwetsbaarheid zit in een of ander pakket, update dan naar de laatste stabiele versie, en houd eens op dingen erbij te halen waar niemand in geinteresseerd is!
06-12-2022, 15:08 door Anoniem
Vandaag 6 december de update geinstalleerd via een Terminal opdracht.
Linux Distro: Ubuntu LTS laatste versie.

Eerst de oude versie van VLC verwijderen via software of via synaptic packetbeheer.
Daarna de volgende Terminal opdracht ingetikt:

sudo snap install vlc

Dan wordt de laatste versie (3.0.18) binnengehaald en geinstalleerd.
06-12-2022, 22:02 door Anoniem
Door Anoniem: Vandaag 6 december de update geinstalleerd via een Terminal opdracht.
Linux Distro: Ubuntu LTS laatste versie.

Eerst de oude versie van VLC verwijderen via software of via synaptic packetbeheer.
Daarna de volgende Terminal opdracht ingetikt:

sudo snap install vlc

Dan wordt de laatste versie (3.0.18) binnengehaald en geinstalleerd.
Ik hoefde helemaal niets te doen onder fedora, had al 3.0.18
06-12-2022, 22:49 door Anoniem
Door Anoniem:
Voor veel gebruikers niet want Didier Stevens van het Intern Storm Center laat weten dat bij verschillende Windows-versies de updateserver ten onrechte meldt dat er geen nieuwe versie beschikbaar is, waardoor gebruikers met een kwetsbare versie blijven werken.
Hij zal het wel hebben over die bug die VLC zelf een stuk of 3 versies geleden geintroduceerd heeft waardoor de update
check niet meer werkte. Toen moest je handmatig updaten als je die defecte versie geinstalleerd had.
Maar de 3.0.17.4 (dacht ik) die hiervoor de huidige versie was die geeft keurig aan dat er een update is.
08-12-2022, 10:02 door Anoniem
Ik vind het ook niet fijn dat VLC ook dingen doet als VNC. Dat lijkt mij vragen om extra attack surface en obscure security bugs. Zeker aangezien VLC een cruciale applicatie is die draait op desktops waarbij een hack veel persoonlijke informatie te vinden valt.

Ik ben opweg zelf scripts te schrijven die alles compileren vanaf sourcecode. Kun je zelf alle overbode en risicovolle meuk weglaten. VNC doe ik wel met Remmina, bijvoorbeeld. Als VLC nou zou concentreren op het afspelen van filmpjes, daar valt nog een hoop te verbeteren, zoals timeseek-corruption bij VP9 videos zoals die van Youtube en missende GPU hardware acceleration. En een interface die níet doet denken aan Windows 95 zou ook niet verkeerd zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.