https://www.macfreak.nl/modules/news/images/vlc.png
Het is beter om VLC even niet te gebruiken *Update*
VLC is hoogstwaarschijnlijk de meest gebruikte app op de Mac om filmpjes af te spelen. Niet alleen is het gratis, in tegenstelling tot Apple’s QuickTime is het helemaal niet kieskeurig, en speelt zo’n beetje alle formaten af die op het internet in gebruik zijn.

Maar op het moment lijkt het een beter idee om VLC even links te laten liggen, want in alle versie van VLC blijkt een gat te zitten dat door kwaadwillende hackers misbruikt zou kunnen worden. Dit is ontdekt door het Duitse CERT-Bund, de details daarvan zijn te vinden op deze pagina. Bij VLC zijn ze zich van dit probleem bewust, er wordt hard aan een update gewerkt. Het probleem is dat het werk aan deze update op dit moment voor ongeveer 70 procent klaar is, meer over de voortgang daarvan vind je hier.



In de tussentijd lijkt het verstandiger om VLC alleen te gebruiken als je geen verbinding hebt met het internet, en extra voorzichtig zijn met wat je naar binnen haalt op je Mac. Of voorlopig voor Apple's eigen QuickTime speler te kiezen. Mocht je een bestand hebben dat deze speler niet lust, dan kan je kijken of het met het oudere QuickTime Player 7 van Apple wel lukt.

Op het moment dat het team achter VLC een update uitbrengt waarin dit probleem is opgelost, dan is dat natuurlijk hier op MacFreak te lezen.

Update:
Het lijkt er op dat het om een fout gaat die méér dan een jaar geleden aanwezig was. De fout zat in een bibliotheek waar VLC gebruikt van maakt om bestanden af te kunnen spelen. Volgens de hoofdontwikkelaar is er een VLC-gebruiker geweest die een oude versie draaide waar het lek nog in zat. De combinatie van internetmedia én tijdgebrek bij VLC om het lek te onderzoeken en reproduceren heeft er voor gezorgd dat het nieuws al werd verspreid voordat het uitgezocht kon worden door VLC zelf. Op dit moment is er dus niets aan de hand en blijft het bij een storm in een glas water.

met dank aan forumlid ‘iEscape’, die dit nieuws als eerste meldde


 
Bereik MacFreak’s 85.000 maandelijkse bezoekers met sponsoring, advertorials of pagelinks.
Reach MacFreak’s 85.000 monthly visitors through sponsoring, advertorials or pagelinks.
geplaatst door: Robert
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #1 geplaatst: 23 juli 2019 - 17:04
Of je let op wat je afspeelt, of je gebruikt even Iina...
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #2 geplaatst: 23 juli 2019 - 17:14
Met zulke ingewikkelde en voor mij verder volstrekt onduidelijke bugs vraag ik mij af of lina niet ook kwetsbaar is voor hacks.
geplaatst door: peerzwart
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #3 geplaatst: 23 juli 2019 - 20:08
Het is een klassieke buffer overflow in de VLC code. Dus tenzij Iina de codecs van VLC gebruikt, is deze zelf niet vatbaar voor dit probleem.
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #4 geplaatst: 24 juli 2019 - 00:55
Dank je, MacFrankie! Iina kende ik nog niet.
Helaas denk ik dat ik deze niet kan draaien op mijn Macjes.

Ontopic: ik hoop dat dit VLC lek snel opgelost geraakt.
Op mijn werk zijn we daar namelijk "grootverbruikers" van.

1ste onderhoudstaak na mijn vakantie zal dus zijn:
VLC updaten op onze 1ne MBP en tig PC laptops (gaande van Win 7 tot Win 10- beuak).

Ik zal het hele huis moeten uitkammen naar alle VLC gebruikers.

Het zij zo.
geplaatst door: HEXDIY
If it ain't broke, don't fix it!
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #5 geplaatst: 24 juli 2019 - 01:22
En nog wat over codec bibliotheken: ik vrees te lezen dat zowel VLC, Iina als mpv (mogelijk ook Quicktime) gebruik maken van de FFMPEG codec bibliotheek (Libavcodec).

https://en.wikipedia.org/wiki/Libavcodec

De hamvraag is dus te weten of het hier gemelde VLC veiligheidslek origineert in de codec bib, dan wel in de applicatie zelf!

Bijkomende vraag: is FFMPEG geliëerd met MPEG LA, die wereldwijd royalties ontvangt voor het gebruik van de MPEG2 videostandaard?

https://www.mpegla.com/

https://www.justice.gov/atr/response-trustees-columbia-university-fujitsu-limited-general-instrument-corp-lucent

Iemand hier onderlegd in deze materie?

N.B: vage indicaties voor een buffer overrun in FFMPEG bv. hier:

https://stackoverflow.com/questions/48320119/real-time-buffer-too-full-ffmpeg
geplaatst door: HEXDIY
If it ain't broke, don't fix it!
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #6 geplaatst: 24 juli 2019 - 06:56
Wat een boel storm weer in een glaasje water dit VLC verhaal.


Bijkomende vraag: is FFMPEG geliëerd met MPEG LA, die wereldwijd royalties ontvangt voor het gebruik van de MPEG2 videostandaard?

Antwoord op je vragen zijn met één klik te vinden.

https://en.wikipedia.org/wiki/FFmpeg
http://ffmpeg.org/faq.html
geplaatst door: puk1980
Nee inderdaad, puk heeft nog niet geupgrade naar Catalina.
geplaatst door: Mac OS X
mvg Mac OS X mac gebruiker vanaf 2014 / 2x iBook G4 (2004) 1x iPod 1x iMac 27 5K (2017) 1x iPhone 7 128GB 2016 1x Apple SuperDrive
@JensBamps Twitter. old Apple computers never death
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #9 geplaatst: 24 juli 2019 - 18:18
Ach, ik neem het Robert niet kwalijk. Je ziet wel vaker dat nieuwssites elkaar na-papegaaien zonder eerst even zelf een klein onderzoekje te doen. De reactie van de VLC ontwikkelaars (dat het hier een “canard” betrof) was al te vinden nog voor dit nieuwsbericht geplaatst werd. Toch alweer (meer dan) 715 keer bekeken. Dat dan weer wel. :smile:
geplaatst door: puk1980
Nee inderdaad, puk heeft nog niet geupgrade naar Catalina.
antw: Het is beter om VLC even niet te gebruiken *Update*
reactie #10 geplaatst: 25 juli 2019 - 14:01
Ook Tweakers komt erop terug.

Ik ben, stoer als ik ben, niet gestopt VLC te gebruiken, ik ken mijn video bronnen, maar zag het ook niet als groot issue.
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!