Am Monatsanfang wurde ein Fehler an die Entwickler des VLC-Players gemeldet, der die aktuelle Version angeblich zum Absturz bringt. Die US-Behörde NIST hat den gemeldeten „Fehler“ dann als extrem kritische Sicherheitslücke (CVE-2019-13615) eingestuft und auch das deutsche Cert Bund hat das Problem zunächst mit einem hohen Risiko bewertet.
Auch viele andere Medien haben diese Warnungen offenbar ohne Überprüfung übernommen. Jetzt beschwert sich das Videolan-Projekt öffentlich über die Falschdarstellungen – und das zu Recht.
Die Fehlermeldung war falsch
Entgegen der Beschreibung in dem ursprünglichen Bugreport stürzt der VLC-Player mit der aktuellen Version 3.0.7.1 aber überhaupt nicht ab. Die Entwickler aus dem Videolan-Projekt hatten dementsprechend auch Probleme, den Fehler überhaupt nachvollziehen zu können, wie man an der Diskussion im Bugtracker des VLC-Projekts erkennt.
Inzwischen geht VLC davon aus, dass der vom Ersteller des Berichts vermeintlich gefundene Fehler in der Bibliothek Libebml aus dem Matroska-Projekt steckt die der VLC-Player lediglich als Abhängigkeit nutzt, genau wie einige andere freie Multimediaprojekte, wie beispielsweise FFMpeg oder Gstreamer.
Inzwischen weist das Matroska-Projekt explizit darauf hin, dass das gemeldete Problem schon vor über einem Jahr behoben wurde. Dieses Update hat auch das VLC-Projekt für seine offiziellen Builds seit der Version 3.0.3 übernommen.
Keine akute, gefährliche Sicherheitslücke in VLC
Dummerweise haben aber wohl einige Linux-Distributionen das Update bisher noch nicht an ihre Nutzer ausgerollt. Aber ein akute und gefährliche Sicherheitslücke, wie es viele Medien berichtet haben, existiert in der aktuellen Versionen des VLC-Players nicht.