Die vom Cert-Bund gemeldete Sicherheitslücke im VLC-Player hat das Fass wohl zum Überlaufen gebracht und Meldungen über die Fragwürdigkeit und mangelnde Seriosität des Cert werden aktuell in vielen Medien veröffentlicht.
Diese Meldung war schlicht und ergreifend falsch, und schließlich ist es auch nicht das erste Mal, dass das dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zugehörige Cert solche Falschmeldungen herausgibt.
Man hat den Eindruck, dass die Beamten in dieser Behörde Probleme systematisch übertrieben darstellen. Offenbar glaubt man, auf diese Tour seine Funktion bzw. Tätigkeit aufwerten zu können.
Das Cert-Bund veröffentlicht regelmäßig Kurznachrichten zu Sicherheitslücken auf seiner Internetseite. Eine solche Kurznachricht war der Grund für die Empörung der Videolan-Entwickler. Die Meldung wurde zwar inzwischen schon teilweise geändert, beinhaltet aber immer noch grob falsche Angaben.
Dort wird immer noch von einem Remoteangriff gesprochen und behauptet, dass die Lücke ein “Ausführen beliebigen Programmcodes” erlaube. Einen Beleg dafür liefert das Cert-Bund aber nicht, und realistisch ist ein solches Szenario bei dieser Art des Fehlers (Out-of-Bounds-Read) nicht wirklich.