image

Beveiligingslek in VLC media player kan aanvaller code laten uitvoeren

vrijdag 27 september 2024, 15:15 door Redactie, 15 reacties

Een kwetsbaarheid in VLC media player maakt het mogelijk voor een aanvaller om willekeurige code met rechten van de aangevallen gebruiker uit te voeren. Om misbruik van het beveiligingslek te maken zou een aanvaller het doelwit een speciaal geprepareerde malafide mms-stream moeten laten openen. Een update is sinds juni beschikbaar. De Duitse overheid kwam gisteren met een waarschuwing voor het beveiligingslek. De impact daarvan is op een schaal van 1 tot en met 10 beoordeeld met een 8.8.

Het probleem is verholpen in VLC media player 3.0.21. Deze versie verscheen afgelopen juni. Tot het moment de patch is geïnstalleerd wordt aangeraden om geen mms-streams van onvertrouwde derde partijen te openen of de VLC-browserplug-ins uit te schakelen. VideoLAN, ontwikkelaar van de mediaspeler, is niet bekend met misbruik van de kwetsbaarheid. Dit jaar heeft VideoLAN pas twee beveiligingsbulletins uitgebracht. Het andere probleem betreft een beveiligingslek in de iOS-versie waardoor een denial of service mogelijk is.

Reacties (15)
27-09-2024, 16:17 door Anoniem
Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...
27-09-2024, 17:07 door Anoniem
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...
Nou ja, ook in Linux heb ik gemerkt dat 3.0.20 nog steeds wordt geïnstalleerd.
Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.
27-09-2024, 17:22 door Anoniem
Zolang mensen de GNU/Linux of Android versie gebruiken zijn ze veilig, al heb ik dergelijke apps altijd achter een firewall staan aangezien ik het alleen offline gebruik, dat raadt ik anderen ook aan te doen als ze het niet online gebruiken.
27-09-2024, 17:56 door Anoniem
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.
27-09-2024, 18:01 door Anoniem
Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.
27-09-2024, 21:13 door Anoniem
Door Anoniem: Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.
Terechte opmerking. Dat viel mij ook op.
27-09-2024, 22:11 door Anoniem
je kan ook vlc verwijderen en dan custum install en dan mms weg vinken het is eigenlijk een pluginstuke niet echt plugin maar een soort van
28-09-2024, 00:21 door Anoniem
De zoveelste keer al
28-09-2024, 00:30 door Anoniem
Door Anoniem: Zolang mensen de GNU/Linux of Android versie gebruiken zijn ze veilig, al heb ik dergelijke apps altijd achter een firewall staan aangezien ik het alleen offline gebruik, dat raadt ik anderen ook aan te doen als ze het niet online gebruiken.
Excuseer, ik zie dat het ook de Linux-versie betreft die eveneens onveilig is.
28-09-2024, 00:36 door Anoniem
"Workarounds
The user should refrain from opening mms streams from untrusted third parties (or disable the VLC browser plugins), until the patch is applied."

Bron:
https://www.videolan.org/security/sb-vlc3021.html
28-09-2024, 10:24 door Anoniem
Door Anoniem:
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.

Dat is dan dus geen MSI file.
Het is bija alsof je een Linux gebruiker aanraadt om een pakket niet vanuit de .deb of .rpm te installeren maar zelf even naar /usr/bin te copieren.
Niet erg handig.

Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.
Dat is wel wat overdreven. Je bent er zelf bij of je die kwetsbaarheid een kans geeft. Als je nou een hele kudde computers voor onwetende kantoormedewerkers beheerde was het een ander verhaal, maar op je eigen Linux computer waar je alleen je collectie mp4 files afspeelt is er niks aan de hand.
30-09-2024, 09:54 door Anoniem
Door Anoniem:
Door Anoniem: Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.
Terechte opmerking. Dat viel mij ook op.

De overheid moest eerst nog wat accounts hacken ...
30-09-2024, 09:57 door Anoniem
Door Anoniem:
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...
Nou ja, ook in Linux heb ik gemerkt dat 3.0.20 nog steeds wordt geïnstalleerd.
Ik heb daarom VLC uit veiligheidsoverwegingen maar even tijdelijk verwijderd.

Ja de vlc update functie geeft me ook 20
30-09-2024, 11:00 door Anoniem
Door Anoniem: Misschien moeten ze volgende keer die waarschuwing geven waneer de update is uitgerold, en niet drie maanden later.
Voor zoiets moet je ook niet vertrouwen op de overheid, maar op security advisories van de software bedrijven diewel op tijd gepubliceerd worden.

Door Anoniem:
Door Anoniem:
Door Anoniem: Denk je OK, even updaten dan, zijn die sufferds gestopt met het releasen van MSI files!
Dat is dan zeker ook de reden waarom 3.0.20 (geinstalleerd van MSI) bij "check op updates" zegt dat ie uptodate is...

Je kunt gewoon een windows 64-bit "installer" downloaden van de site. (hun woorden)
De extentie is *.exe.

Dat is dan dus geen MSI file.
Het is bija alsof je een Linux gebruiker aanraadt om een pakket niet vanuit de .deb of .rpm te installeren maar zelf even naar /usr/bin te copieren.
Niet erg handig.
Tegenwoordig zijn heel veel installers exe ipv msi. Het is niet alsof je handmatig de executable files naar program files moet kopiëren. En code uitvoeren gebeurd uiteindelijk toch, als je een exe installer van een bepaald programma niet vertrouwd zou ik de msi ook niet vertrouwen.
30-09-2024, 14:43 door Anoniem
Gewoon op je eigen bittenbak kijken of je inderdaad de veilig versie hebt. Daarna eventueel updaten en dan rustig gaan slapen'.
Waarom werden in reacties zo veel woorden vuilgemaakt aan die reacties. Dit is geen social medium, toch? ;-)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.