VLC hat bei jüngstem Update gepatzt

Die Entwickler des VLC Media Players haben bei der Version 2.0.8 geschlampt: Das Update enthält ein veraltetes Web-Plug-in für Firefox, das den Browser zu einem Sicherheitsalarm veranlasst.

Der VLC Media Player ist nicht nur eine populäre Abspiel-Software für Windows-PCs, sondern gilt aufgrund kurzer Update-Intervalle auch als verhältnismässig sicher. In der neuesten Version 2.0.8 leistet sich die Software allerdings einen verhängnisvollen Schnitzer: Die Entwickler haben das im Installationsprogramm enthaltene VLC-Web-Plug-in für Mozilla Firefox nicht aktualisiert. Es ist weiterhin auf dem Stand von VLC 2.0.6 und veranlasst Firefox im Rahmen eines Sicherheits-Checks der installierten Plug-ins zu einer Sicherheitswarnung.

Im Rahmen des Setups richtet VLCX 2.0.8 zwar auch das Firefox-Plug-in namens Npvlc.DLL neu ein, wie man nach einer De-Installation und erneuten Einrichtung von VLC erkennen kann, doch installiert wird stets die nicht mehr aktuelle Version 2.0.6. Ein Plug-in-Check in Firefox bestätigt, dass es sich nach wie vor um die alte Version 2.0.6 handelt. Eine vom Plug-in-Check vorgeschlagene Aktualisierung der DLL-Datei bleibt erfolglos, da die VLC-Entwickler keine neuere Version bereitstellen.

Aus Sicherheitsgründen ist ratsam, die Datei Npvlc.DLL vorübergehend zu deaktivieren. Das erledigt man in Firefox im Menü ?Extras, Add-ons, Plug-ins?, indem man beim VLC-Plug-in ganz rechts ?Nie aktivieren? einstellt.

Kommentar

Zwar ein ärgerliches Sicherheitsleck, doch die VLC-Entwickler dürften kurzfristig mit einem Update reagieren. (ph/com!)