VLC-Player-Lücke stellt sich als „Fake News“ heraus

„Der VLC-Player hat eine kritische Lücke.“ Das berichteten jüngst viele Netzmedien auf der ganzen Welt. Die Entwickler des beliebten Video-Players sagen allerdings: Es gibt überhaupt keine Lücke und hat nie eine gegeben.

Als die amerikanische Behörde NIST und später auch das Bundesamt für Sicherheit in der Informationstechnik (CERT Bund) vor einer kritischen Lücke warnen (CVE-2019-13615) ist das Aufsehen groß. Der VLC-Player des Entwicklers VideoLAN ist Open-Source und wird weltweit millionenfach eingesetzt.

Fehler lässt sich nicht nachstellen

Die Entwickler haben indes Probleme den Bug nachzuvollziehen, da der Player einfach nicht abstürzen will. Die im Bugreport zur Verfügung gestellte Datei scheint einfach nicht – wie behauptet – zum Absturz zu führen.

VLC-Player-Bug ist schon seit einem Jahr behoben

Nach Prüfung gehen die Entwickler davon aus, dass der vom Ersteller des Berichts gefundene Fehler vermutlich in einer Bibliothek des Matroska-Projekts (libebml) befindet. Die hat jedoch selbst gar nichts mit dem VLC-Player zu tun und ist lediglich eine Zusatz-Bibliothek.

Außerdem behaaren die Entwickler von Matroska darauf, dass sie den Fehler schon im letzten Jahr behoben haben. Der VLC-Player ist damit schon seit Version 3.0.3 bugfrei – wer diese oder eine höhere Version nutzt, hat nichts zu befürchten.

Es wird lediglich darauf hingewiesen, dass einige Linux-Distributionen das Update noch nicht an ihre Nutzer ausgerollt haben.

Kritik an Behörde und Medien

Inzwischen hat auch das Bundesamt die Lücke von „kritisch“ auf „niedrig“ herab gestuft. Wie genau dieser Fehler passieren konnte, ist aber noch nicht abschließend geklärt. VideoLAN gibt sich auf Twitter allerdings empört über das Vorgehen von NIST, die laut Aussage der Entwickler schon seit Jahren jegliche Kooperation verweigern.


Kritik gibt es auch an den Medien, die über den Fall berichteten, nachdem CERT Bund die Warnung herausgegeben hat. Im Detail wird die News-Seite Gizmodo genannt, die sogar dazu aufgerufen hatte, den VLC-Player zu deinstallieren.