Nieuws

Beveiligingslek in VLC media player kan aanvaller code laten uitvoeren

vrijdag 27 september 2024, 15:15 door Redactie, 15 reacties

Een kwetsbaarheid in VLC media player maakt het mogelijk voor een aanvaller om willekeurige code met rechten van de aangevallen gebruiker uit te voeren. Om misbruik van het beveiligingslek te maken zou een aanvaller het doelwit een speciaal geprepareerde malafide mms-stream moeten laten openen. Een update is sinds juni beschikbaar. De Duitse overheid kwam gisteren met een waarschuwing voor het beveiligingslek. De impact daarvan is op een schaal van 1 tot en met 10 beoordeeld met een 8.8.

Het probleem is verholpen in VLC media player 3.0.21. Deze versie verscheen afgelopen juni. Tot het moment de patch is geïnstalleerd wordt aangeraden om geen mms-streams van onvertrouwde derde partijen te openen of de VLC-browserplug-ins uit te schakelen. VideoLAN, ontwikkelaar van de mediaspeler, is niet bekend met misbruik van de kwetsbaarheid. Dit jaar heeft VideoLAN pas twee beveiligingsbulletins uitgebracht. Het andere probleem betreft een beveiligingslek in de iOS-versie waardoor een denial of service mogelijk is.

Politie getroffen door datalek: namen alle medewerkers buitgemaakt

Vodafone beboet voor illegaal gebruik van verkeersgegevens klanten

Reacties (15)

Reageer met quote

27-09-2024, 16:17 door Anoniem

Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...

Reageer met quote

27-09-2024, 17:07 door Anoniem

Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...

Nou ja, ook in Linux heb ik gemerkt dat 3.0.20 nog steeds wordt geïnstalleerd.
Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.

Reageer met quote

27-09-2024, 17:22 door Anoniem

Zolang mensen de GNU/Linux of Android versie gebruiken zijn ze veilig, al heb ik dergelijke apps altijd achter een firewall staan aangezien ik het alleen offline gebruik, dat raadt ik anderen ook aan te doen als ze het niet online gebruiken.

Reageer met quote

27-09-2024, 17:56 door Anoniem

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.

Reageer met quote

27-09-2024, 18:01 door Anoniem

Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.

Reageer met quote

27-09-2024, 21:13 door Anoniem

Door Anoniem: Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.

Terechte opmerking. Dat viel mij ook op.

Reageer met quote

27-09-2024, 22:11 door Anoniem

je kan ook vlc verwijderen en dan custum install en dan mms weg vinken het is eigenlijk een pluginstuke niet echt plugin maar een soort van

Reageer met quote

28-09-2024, 00:21 door Anoniem

De zoveelste keer al

Reageer met quote

28-09-2024, 00:30 door Anoniem

Door Anoniem: Zolang mensen de GNU/Linux of Android versie gebruiken zijn ze veilig, al heb ik dergelijke apps altijd achter een firewall staan aangezien ik het alleen offline gebruik, dat raadt ik anderen ook aan te doen als ze het niet online gebruiken.

Excuseer, ik zie dat het ook de Linux-versie betreft die eveneens onveilig is.

Reageer met quote

28-09-2024, 00:36 door Anoniem

"Workarounds
The user should refrain from opening mms streams from untrusted third parties (or disable the VLC browser plugins), until the patch is applied."

Bron:
https://www.videolan.org/security/sb-vlc3021.html

Reageer met quote

28-09-2024, 10:24 door Anoniem

Door Anoniem:

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.

Dat is dan dus geen MSI file.
Het is bija alsof je een Linux gebruiker aanraadt om een pakket niet vanuit de .deb of .rpm te installeren maar zelf even naar /usr/bin te copieren.
Niet erg handig.

Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.

Dat is wel wat overdreven. Je bent er zelf bij of je die kwetsbaarheid een kans geeft. Als je nou een hele kudde computers voor onwetende kantoormedewerkers beheerde was het een ander verhaal, maar op je eigen Linux computer waar je alleen je collectie mp4 files afspeelt is er niks aan de hand.

Reageer met quote

30-09-2024, 09:54 door Anoniem

Door Anoniem:

Door Anoniem: Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.

Terechte opmerking. Dat viel mij ook op.

De overheid moest eerst nog wat accounts hacken ...

Reageer met quote

30-09-2024, 09:57 door Anoniem

Door Anoniem:

Nou ja, ook in Linux heb ik gemerkt dat 3.0.20 nog steeds wordt geïnstalleerd.
Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.

Ja de vlc update functie geeft me ook 20

Reageer met quote

30-09-2024, 11:00 door Anoniem

Door Anoniem: Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.

Voor zoiets moet je ook niet vertrouwen op de overheid, maar op security advisories van de software bedrijven diewel op tijd gepubliceerd worden.

Door Anoniem:

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.

Dat is dan dus geen MSI file.
Het is bija alsof je een Linux gebruiker aanraadt om een pakket niet vanuit de .deb of .rpm te installeren maar zelf even naar /usr/bin te copieren.
Niet erg handig.

Tegenwoordig zijn heel veel installers exe ipv msi. Het is niet alsof je handmatig de executable files naar program files moet kopiëren. En code uitvoeren gebeurd uiteindelijk toch, als je een exe installer van een bepaald programma niet vertrouwd zou ik de msi ook niet vertrouwen.

Reageer met quote

30-09-2024, 14:43 door Anoniem

Gewoon op je eigen bittenbak kijken of je inderdaad de veilig versie hebt. Daarna eventueel updaten en dan rustig gaan slapen'.
Waarom werden in reacties zo veel woorden vuilgemaakt aan die reacties. Dit is geen social medium, toch? ;-)

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer

Facebook en internetbankieren

01-11-2024 door Anoniem

Voor internetbankieren bij ING gebruik ik Firefox met de extensie NoScript. Het viel me daarbij op dat telkens als ik uitlog ...

18 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Beveiligingslek in VLC media player kan aanvaller code laten uitvoeren

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Bitcoin:

Wachtwoord Vergeten

Password Reset

Registreren