W Internecie zaczęły pojawiać się raporty o krytycznej luce w zabezpieczeniach popularnego odtwarzacza multimedialnego VLC Media Player.
Aktualizacja : VideoLAN potwierdził, że problem nie był problemem bezpieczeństwa w VLC Media Player. Inżynierowie wykryli, że przyczyną problemu była starsza wersja biblioteki innej firmy o nazwie libebml, która była zawarta w starszych wersjach Ubuntu. Naukowiec najwyraźniej wykorzystał tę starszą wersję Ubuntu. Koniec
Sam Rutherford z Gizmodo zasugerował, aby użytkownicy natychmiast odinstalowali VLC, a treść innych magazynów i witryn technicznych była w większości identyczna. Sensacyjni nagłówki i historie generują wiele odsłon i kliknięć, i jest to prawdopodobnie główny powód, dla którego witryny lubią je wykorzystywać zamiast skupiać się na nagłówkach i artykułach, które nie są tak sensacyjne.
Raport o błędzie, złożony pod CVE-2019-13615, ocenia problem jako krytyczny i stwierdza, że wpływa on na VLC Media Player 3.0.7.1 i poprzednie wersje odtwarzacza multimediów.
Problem dotyczy wszystkich wersji VLC Media Player dostępnych dla systemów Windows, Linux i Mac OS X, zgodnie z opisem. Osoba atakująca może wykonać kod zdalnie na zagrożonych urządzeniach, jeśli luka zostanie pomyślnie wykorzystana zgodnie z raportem o błędzie.
Opis problemu jest techniczny, ale zawiera cenne informacje na temat luki w zabezpieczeniach:
Odtwarzacz multimediów VideoLAN VLC 3.0.7.1 ma nadmiarowy bufor oparty na stercie w mkv :: demux_sys_t :: FreeUnused () w module / demux / mkv / demux.cpp po wywołaniu z mkv :: Otwórz w module / demux / mkv / mkv.cpp.
Lukę można wykorzystać tylko wtedy, gdy użytkownicy otworzą specjalnie przygotowane pliki za pomocą VLC Media Player. Przykładowy plik multimedialny w formacie MP4 jest dołączony do listy ścieżek błędów, która wydaje się to potwierdzać.
Inżynierowie VLC mają trudności z odtworzeniem problemu zgłoszonego na oficjalnej stronie śledzenia błędów cztery tygodnie temu.
Jean-Baptiste Kempf, kierownik projektu, powiedział wczoraj, że nie może odtworzyć błędu, ponieważ w ogóle nie spowodował awarii VLC. Inni, np. Rafael Rivera, również nie mogli odtworzyć problemu w kilku kompilacjach VLC Media Player.
VideoLAN poszedł na Twitter, aby zawstydzić organizacje raportujące MITER i CVE.
Hej, @MITREcorp i @CVEnew, fakt, że NIGDY nigdy nie kontaktujesz się z nami w sprawie luk VLC przez wiele lat przed publikacją, nie jest naprawdę fajny; ale przynajmniej możesz sprawdzić swoje informacje lub sprawdzić siebie przed publicznym wysłaniem luki 9.8 CVSS ...
Och, przy okazji, to nie jest usterka VLC ...
Organizacje nie poinformowały VideoLAN o luce w zabezpieczeniach zaawansowanych zgodnie z postem VideoLAN na Twitterze.
Co mogą zrobić użytkownicy VLC Media Player
Problemy, które inżynierowie i badacze muszą odtworzyć, sprawiają, że jest to dość zagadkowa sprawa dla użytkowników odtwarzacza multimedialnego. Czy w międzyczasie można bezpiecznie korzystać z VLC Media Player, ponieważ problem nie jest tak poważny, jak początkowo sugerowano, ani w ogóle nie stanowi usterki?
Może zająć trochę czasu, zanim sprawy się ułożą. Użytkownicy mogą w międzyczasie korzystać z innego odtwarzacza multimedialnego lub zaufać ocenie problemu przeprowadzonej przez VideoLAN. Zawsze dobrze jest zachować ostrożność, jeśli chodzi o wykonywanie plików w systemach, szczególnie gdy pochodzą one z Internetu i tam ze źródeł, którym nie można ufać w 100%.
Teraz ty : jakie jest twoje zdanie na temat całej sprawy? (przez Deskmodder)