Video-Player: Feindliche Übernahme durch Untertitel

Posted on by

Wie schon mal hier festgehalten, handelt es sich bei der Sicherheit in der Informatik um ein Katz und Maus Spiel. Wird ein Loch in der Software geschlossen, findet sich über Kurz oder Lang ein Weiteres an einem anderen Ort. Software ist so lange sicher, bis sie von der Öffentlichkeit verwendet wird. In dem Moment fangen die Bösewichte die Suche nach dem schwächsten Glied an. Und, da muss man jede Hoffnung fahren lassen, sie werden sie finden. Solange es sich nur irgendwie lohnt. So auch zuletzt bei einigen Videoplayern.

Screenshot des "Über"-Fensters des VLC-Players.

Erst mit der Version 2.2.6 Umbrelle ist die Sicherheitslücke bei den Untertiteln behoben. Falls das Update noch nicht von selbst gekommen ist, muss in der Rubrik Hilfe manuell nach Updates gesucht werden.

Unbegrenzte Kreativität der Bösewichte
Seit ich die Neuigkeiten im Bereich der Informatik-Sicherheit verfolge, bin ich immer wieder überrascht und beeindruckt, auf welche Ideen Hacker kommen, um sich in unsere Computer einzuschleichen. Aber das ist auch ihr Job. Das bekannte IT-Sicherheitsunternehmen Checkpoint Security Research hingegen gab vor kurzem bekannt, dass nun sogar einige Videoplayer bzw. die für die Untertitel verantwortlichen Teile eine Sicherheitslücke aufweisen. Durch einen Fehler im Code könnten mit Schadsoftware infizierte Untertiteldateien geladen werden. Die Folge wäre dann der Verlust der Kontrolle über den Computer.

Drei Monate Reaktionszeit üblich
Unter den betroffenen Playern sind auch sehr bekannte Namen wie VLC und Kodi. Alles in allem wären damit 200 Millionen Computer in Gefahr. So wie es die Gepflogenheiten in diesen Fällen verlangen, benachrichtigten die Entdecker die betroffenen Unternehmen und geben ihnen drei Monate Zeit auf das Problem zu reagieren. Reagieren die Schöpfer dieser Software nicht wird das Sicherheitsloch nach Ablauf dieser Frist veröffentlicht. Mit dem Schritt in die Öffentlichkeit wird die Sicherheitslücke zum allgemein verwertbaren Gut für Bösewichte.

VLC-Update schon bereit
Zum Glück reagierten in diesem Fall mindestens ein Hersteller schon auf die erste Benachrichtigung. So war zur Zeit der Veröffentlichung beim VLC Mediaplayer (170 Millionen Downloads!)  auch ein Update vorhanden. Das heisst: Alle die VLC oder andere betroffene Player verwenden, müssen nach einem Update Ausschau halten. Und diejenigen Hersteller, die kein Update anbieten, sollten gemieden werden.  Nicht zuletzt damit haben die Macher des VLC-Players wieder einmal ihre Klasse bewiesen. Das ist ein Stück Software, dass ich nur empfehlen kann. Das Ding kommt wohl mit fast jedem frei verfügbaren Format zurecht und kann selbst Videos abspielen, die als Dateien nicht komplett sind (z.B. beim Abbruch des Downloads).