Jelentések kezdtek megjelenni az interneten a népszerű multimédia lejátszó VLC Media Player kritikus biztonsági réséről.
Frissítés : A VideoLAN megerősítette, hogy a probléma nem biztonsági probléma a VLC Media Player programban. A mérnökök észlelték, hogy a problémát a külső gyártmányú könyvtár egy libebml néven szereplő régebbi verziója okozta, amelyet az Ubuntu régebbi verziói tartalmaztak. A kutató látszólag az Ubuntu e régebbi verzióját használta. vég
A Gizmodo Sam Rutherford azt javasolta, hogy a felhasználók azonnal távolítsák el a VLC-t, és más tech magazinok és webhelyek ideje nagyrészt azonos. A szenzationista címsorok és történetek sok oldalmegtekintést és kattintást generálnak, és valószínűleg ez a fő oka annak, hogy a webhelyek inkább ezeket használják, ahelyett, hogy olyan címsorokra és cikkekre összpontosítanának, amelyek nem annyira szenzációsak.
A CVE-2019-13615 szám alatt benyújtott hibajelentés kritikusnak értékeli a problémát, és kijelenti, hogy érinti a VLC Media Player 3.0.7.1-et és a médialejátszó korábbi verzióit.
A probléma a leírás szerint a VLC Media Player összes, a Windows, Linux és Mac OS X számára elérhető asztali verzióját érinti. A támadó távolról végrehajthatja a kódot az érintett eszközökön, ha a biztonsági rést a hibajelentés szerint sikeresen kihasználják.
A probléma leírása technikai jellegű, de értékes információt nyújt a sebezhetőségről:
A VideoLAN VLC médialejátszó 3.0.7.1 egy halom-alapú pufferrel rendelkezik, amely felül van olvasva az mkv-ben :: demux_sys_t :: FreeUnused () modulokban / demux / mkv / demux.cpp, amikor az mkv-ből hívják: Megnyitás modulokban / demux / mkv / mkv.cpp.
A biztonsági rést csak akkor lehet kihasználni, ha a felhasználók kifejezetten előkészített fájlokat nyitnak meg a VLC Media Player használatával. Az mp4 formátumot használó médiafájlt csatolják a hibaellenőrzés listájához, amely ezt megerősíteni látszik.
A VLC mérnökei hirdetési nehézségekkel járnak a probléma reprodukálásával kapcsolatban, amelyet négy héttel ezelőtt a hivatalos hibakövető oldalon jelentettek be.
A projekt vezetője, Jean-Baptiste Kempf tegnap közzétette, hogy nem tudja reprodukálni a hibát, mivel az egyáltalán nem okozta a VLC-t. Mások, például Rafael Rivera, több VLC Media Player verzióban sem tudták reprodukálni a problémát.
A VideoLAN a Twitterbe ment, hogy szégyentelje a MITER és a CVE adatszolgáltató szervezeteket.
Hé, @MITREcorp és @CVEnew, az a tény, hogy soha soha nem fordult hozzánk VLC-sérülékenységek miatt évekig a közzététel előtt, valóban nem menő; de legalább megnézheted az adatadat, vagy ellenőrizheted magad, mielőtt a 9.8-as CVSS biztonsági rést nyilvánosan elküldik ...
Oh, btw, ez nem egy VLC sebezhetőség ...
A VideoLAN Twitter-bejegyzésének megfelelően a szervezetek nem tájékoztatták a VideoLAN-ot az előrehaladott sebezhetőségről.
Mit tehet a VLC Media Player felhasználói?
Azok a problémák, amelyekkel a mérnököknek és a kutatóknak vissza kell foglalniuk a kérdést, meglehetősen zavarba ejtő ügyet jelentenek a médialejátszó felhasználói számára. Időközben biztonságos-e a VLC Media Player használata, mivel a probléma nem olyan súlyos, mint az eredetileg javasolták, vagy egyáltalán nincs sebezhetőség?
A dolgok rendezése eltarthat egy ideig. A felhasználók időközben más médialejátszót is használhatnak, vagy megbízhatnak a VideoLAN értékelésével a kérdésben. Mindig jó ötlet, ha óvatos vagyunk a fájlok rendszeren történő végrehajtásakor, különösen, ha azok az internetről és a 100% -ban nem megbízható forrásokból származnak.
Most Ön : Mi a véleménye az egész kérdésről? (Deskmodder útján)
