Die
schwerwiegende Sicherheitslücke im VLC Media Player, vor der BSI und CERT gewarnt hatten, ist offenbar entweder weit weniger schlimm als zunächst behauptet oder sogar auf den allermeisten Systemen überhaupt nicht existent.
Die VideoLAN-Entwickler halten sowohl in ihren Kommentaren im
Bugtracker als auch auf
Twitter daran fest, dass sie die angebliche Sicherheitslücke nicht reproduzieren könnten. Schuld sei eine externe (also nicht von VideoLAN stammende) Softwarebibliothek namens libebml, die jedoch vor über einem Jahr (libedml Version 1.3.6) bereits gepatcht worden sei. Seit Version 3.0.3 des VLC Media Players werde die korrekte, reparierte Version dieser Bibliothek ausgeliefert:
Zur Zeit sieht es so aus, als habe der Fehler mit der möglichen Remote-Code-Ausführung lediglich auf einem Computer mit einem älteren Ubuntu gezeigt werden können. Auf diesem war offenbar die (nicht von VideoLAN stammende) Softwarekomponente libebml in der verwundbaren Version vorhanden.
Jean-Baptiste Kempf, der Chef-Entwickler bei VideoLAN,fordert in seinem vorläufig letzten Kommentar im Bugtracker entsprechend: "Merke: Wenn du eine Sicherheitslücke meldest, update wenigstens vorher deine Linux-Distribution."