"Löscht VLC!" hieß es zunächst in mehreren übereinstimmenden Meldungen. Beim beliebten VLC Media Player war angeblich eine kritische Lücke entdeckt worden. Inzwischen ist raus: Das war vielleicht doch ein bisschen vorschnell.
Drei Milliarden Downloads. Damit ist der VLC Media Player eines der erfolgreichsten Programme aller Zeiten. Jetzt warnten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere offizielle Stellen vor einer vermeintlichen Sicherheitslücke im Programm. Inzwischen ist allerdings zweifelhaft, ob das wirklich so stimmt. Vor der aktuellen Version des VLC Media Players mit der Nummer 3.0.7.1 gewarnt hatten neben dem BSI mehrere Medien und Experten aus Deutschland und den USA sowie das Cert, das Computer Emergency Response Team der Bundesverwaltung. Die entdeckte Sicherheitslücke sei so schwer, dass sie für Angriffe von außen missbraucht werden könne.
"Ein entfernter, anonymer Angreifer kann eine Schwachstelle in VLC ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren."
Übersetzt heißt das: Kriminelle könnten die Schwachstelle ausnutzen, um Sicherheitsvorkehrungen auf einem Rechner zu umgehen und Software zum Absturz bringen. Theoretisch wäre es dadurch möglich, den ganzen Rechner zu übernehmen. Der Rat der Experten: den Player nicht mehr benutzen. Das Risiko wurde als "hoch" bewertet. Inzwischen ist aber genau das zum Beispiel beim Cert korrigiert worden. Die Gefahr wird inzwischen als niedrig eingestuft.
VLC-Entwickler wehren sich auf Twitter
Was war passiert? Laut Videolan, dem gemeinnützigen Projekt, das den VLC Media Player entwickelt hat, wurde der VLC Media Player mit einem veralteten Betriebssystem getestet. Schuld an dem berichteten Absturz sei also nicht die Software, sondern das veraltete Betriebssystem des Testers gewesen sein. In einem in einem Thread auf Twitter zeigen sich die Entwickler entsprechend wenig erfreut über die Warnung und erklären, dass sie das von einem Sicherheitsexperten aus den USA beschriebene Problem nicht reproduzieren konnten.
Der monierte Code, der für die Sicherheitslücke verantwortlich gemacht wurde, befinde sich zudem in einer Library eines Drittanbieters. Das heißt, Videolan hatte in früheren Versionen auf einen vorgefertigten Code zurückgegriffen. Laut der Entwickler wurde das bekannte Problem aber bereits Mitte 2018 gefixt. Seit der VLC Player Version 3.0.3 würde die schadhafte Library zudem gar nicht mehr benutzt.
Wer trotz der Erklärung der Entwickler ganz sicher gehen will, dass an der Warnung vom BSI nichts dran ist, der sollte den VLC Media Player vorerst nicht benutzen und auf Alternativen wie Real Time oder Windows Media Player umsteigen, bis eine neue Version des VLC Media Players verfügbar ist. Wobei auch das BSI inzwischen die Warnstufe heruntergesetzt hat. Das Techblog Golem jedenfalls hält die Deinstallation des Programms für völlig überzogen und weist darauf hin, dass dem Team aus Freiwilligen bei Videolan durch die aktuelle Berichterstattung ein erheblicher Schaden in der öffentlichen Wahrnehmung des Projekts entstanden ist.
"Für das gemeinnützige Videolan-Projekt ist solch ein Verhalten offizieller Stellen sowie auch vieler Medien besonders ärgerlich, da das Team aus Freiwilligen eben kaum Möglichkeiten hat, den dadurch angerichteten Schaden an der öffentlichen Wahrnehmung des Projekts zu beheben."