Das CERT des Bundesamts für Sicherheit in der Informationstechnik (CERT-Bund) hat nämlich eine Warnmeldung veröffentlicht, nach der eine bisher ungepatchte Sicherheitslücke in der aktuellen Version 3.0.7.1 des Players ein hohes Risiko für Remote-Angriffe darstellt.
Angreifer könnten Schadcode aus der Ferne ausführen
Nach der Warnmeldung des CERT-Bund könnte ein entfernter Angreifer die Lücke ausnutzen, um darüber „beliebigen Programmcode auszuführen, einen ‚Denial of Service‘-Zustand herzustellen, Informationen offenzulegen oder Dateien zu manipulieren“. In der National Vulnerability Database (NVD) zu CVE-2019-13615 ist der Sicherheitslücke ein Score von 9.8 (kritisch) zugeordnet.
VLC arbeitet an einer Lösung
Wann der Code gefixt sein und eine abgesicherte VLC-Version vorliegen wird, ist leider noch nicht bekannt, aber das Sicherheitsproblem hat bei VLC höchste Priorität. Es ist auch noch nicht klar, wie lange der Bug schon im Code steckt und ob möglicherweise auch frühere Versionen der Software angreifbar sind.