VLC media player niet kwetsbaar door "nieuw beveiligingslek"

[Captain Kirk]

Verschillende nieuwssites hebben de afgelopen dagen bericht over een nieuw beveiligingslek in VLC media player waardoor het mogelijk is voor een aanvaller om systemen in het ergste geval over te nemen. Dat is niet het geval, zo heeft VideoLAN laten weten, de ontwikkelaar van VLC.

De kwetsbaarheid bevindt zich in een third-party library waar de mediaspeler gebruik van maakt. Het probleem is alleen meer dan zestien maanden geleden al in VLC gepatcht. Het beveiligingslek werd door iemand gerapporteerd die een oude versie van Ubuntu gebruikte. Hoewel het geen nieuwe kwetsbaarheid betreft besloot MITRE toch een nieuw CVE-nummer voor dit lek uit te geven. Via het CVE-nummer kan de kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. MITRE kent deze CVE-nummers toe.

Volgens VideoLAN had MITRE nooit een CVE-nummer voor dit lek mogen uitgeven. Ook haalt de VLC-ontwikkelaar op Twitter uit naar de Duitse overheid, dat met een beveiligingsbulletin voor de kwetsbaarheid kwam. Er was echter geen contact met VideoLAN opgenomen en ook het beveiligingslek was niet onderzocht. Als laatste hekelt VideoLAN de website Gizmodo die gebruikers zelfs opriep om VLC te verwijderen.

 

 

bron: security.nl