Nee, VLC heeft geen last van een groot beveiligingslek

Door: Raymon Mens - 4 reacties

Veel techsites schrijven momenteel over een groot beveiligingslek in de populaire mediaspeler VLC. Met een corrupt videobestand zou een kwaadwillende zo je computer over kunnen nemen. Als het zo zou zijn, was het inderdaad een ernstig lek. Maar het is niet zo.

De mediahype begon na een beveiligings­waarschuwing van het Duitse CERT-Bund, een organisatie die computeraanvallen in kaart brengt. In de nieuwste versie van VLC (3.0.7.1) zou een beveiligingslek zitten. Door een speciaal gemodificeerd videobestand uit te voeren, zou op afstand code op iedere computer uitgevoerd kunnen worden. Zo kan een ​​gebruiker aangevallen worden, aldus de berichten. In werkelijkheid is dit lek al 16 maanden geleden gedicht.

Geen gevaar bij gebruik VLC

Het lek zat bovendien niet in VLC zelf, maar in Libebml. Dat is een extern component dat de mediaspeler voor het lezen van videobestanden met de MKV-indeling gebruikt. Het lek in dit component is al aan het begin van 2018 gedicht. VLC nam deze fix in versie 3.0.3, dat een jaar geleden uitkwam, over. De kans dat iemand een kwetsbare versie van de populaire videospeler op zijn Mac of PC heeft staan, is vrijwel nihil. VLC heeft namelijk een automatische updatefunctie.

OMT vroeg VLC-ontwikkelaar Jean-Baptiste Kempf om opheldering. Hoe kon een extern lek dat begin 2018 gedicht werd, ineens weer opduiken? Volgens de Fransman die de ontwikkeling van de populaire videospeler overziet heeft een gebruiker van een extreem oude versie van de mediaspeler dit onlangs als lek gemeld in het bugtracking-systeem van de software. Ontwikkelaars van de app konden het lek niet bevestigen en hebben om meer info gevraagd. Het bleek vals alarm, maar toen was de mediahype echter al in volle gang.

VLC
Klik/tap voor groter.

Check je versie (voor de zekerheid)

Lang verhaal kort: er is geen gevaar bij het gebruik van VLC. Zelfs niet als je de laatste paar versies over hebt geslagen. Alle versies boven 3.0.3 zijn veilig. Checken of je die hebt, kan via het menu-item ‘Over VLC Media Player’. De meeste gebruikers zullen al lang een automatische update geïnstalleerd hebben.

De ontwikkelaars achter de populaire mediaspeler likken hun wonden en halen op Twitter fel uit naar onder andere techsite Gizmodo, dat kopte “Je wil VLC van je computer verwijderen. Nu meteen!“. Baptiste Kempf benadrukt “Het is allemaal gebaseerd op niets. Ik neem het de Duitse CERT extreem kwalijk dat de organisatie een vermeend beveiligingslek over heeft genomen in hun database zonder het te controleren of ons te contacteren.”

Reacties

4 reacties
  • Profielfoto
    pruus

    Ja, iedereen altijd gelijk in de paniekstand. Ook wel weer goed om te zien dat er tegenreacties komen. Helder verhaal.

  • Profielfoto
    TheBigZ

    Paniek trekt clicks. En daar zijn techwebsites gek op.

  • Profielfoto
    MagicMouse

    Ik had nog een versie uit 2011, iets in de 1.0, kon niet updaten die versie. Oude verwijdert en nieuwe geïnstalleerd.

  • Profielfoto
    MrMo

    2011? Dat is antiek!!!