Internetis hakkasid ilmuma teated populaarse multimeediumipleieri VLC Media Player kriitilise turvaauke kohta.
Värskendus : VideoLAN kinnitas, et probleem ei olnud VLC Media Playeri turvaprobleem. Insenerid tuvastasid, et probleemi põhjustas Ubuntu vanemates versioonides sisalduva kolmanda osapoole raamatukogu vanem versioon libebml. Ilmselt kasutas teadlane seda Ubuntu vanemat versiooni. Lõpp
Gizmodo esindaja Sam Rutherford soovitas kasutajatel VLC viivitamatult desinstallida ning teiste tehnikaajakirjade ja -saitide sisu oli enamasti identne. Sensatsionistlikud pealkirjad ja lood tekitavad palju lehevaatamisi ja klikke ning see on tõenäoliselt peamine põhjus, miks saidid soovivad neid kasutada, selle asemel et keskenduda pealkirjadele ja artiklitele, mis pole nii sensatsioonilised.
CVE-2019-13615 all esitatud veateade hindab probleemi kriitiliseks ja väidab, et see mõjutab VLC Media Player 3.0.7.1 ja meediumipleieri eelmisi versioone.
Kirjelduse kohaselt mõjutab probleem kõiki VLC Media Playeri töölauaversioone, mis on saadaval Windowsi, Linuxi ja Mac OS X jaoks. Ründaja võib koodi mõjutatud seadmetes eemalt käivitada, kui haavatavust kasutatakse veateate kohaselt edukalt ära.
Probleemi kirjeldus on tehniline, kuid sellegipoolest pakub see haavatavuse kohta väärtuslikku teavet:
VideoLAN VLC meediumipleieril 3.0.7.1 on kuhjapõhine puhver, mida on mkv-s üle vaadatud: demux_sys_t :: FreeUnused () moodulites / demux / mkv / demux.cpp, kui helistada mkv-st: Ava moodulites / demux / mkv / mkv.cpp.
Seda haavatavust saab kasutada ainult siis, kui kasutajad avavad spetsiaalselt ettevalmistatud failid VLC Media Playeri abil. Mp4-vormingut kasutav meediumifail on lisatud veapakkide loendisse, mis näib seda kinnitavat.
VLC inseneridel on reklaamiraskusi nelja nädala eest ametlikule veajälgimise saidile esitatud probleemi taasesitamisel.
Projekti juht Jean-Baptiste Kempf postitas eile, et ei saanud viga reprodutseerida, kuna see ei hävitanud VLC-d üldse. Teised, nt Rafael Rivera, ei suutnud seda probleemi ka mitmetes VLC Media Playeri versioonides korrata.
VideoLAN läks Twitterisse, et häbistada aruandvaid organisatsioone MITER ja CVE.
Tere, @MITREcorp ja @CVEnew, see, et te kunagi ei avalda meiega kunagi enne avaldamist VLC haavatavuste poole pöördumist, pole tegelikult lahe; aga vähemalt võiksite enne 9.8 CVSS-i haavatavuse avalikult saatmist oma teavet kontrollida või ennast kontrollida ...
Oh, btw, see pole VLC haavatavus ...
VideoLAN-i Twitteris postituse kohaselt ei teavitanud organisatsioonid VideoLANi edasijõudnute haavatavusest.
Mida saavad VLC Media Playeri kasutajad teha?
Probleemid, millega insenerid ja teadlased peavad seda teemat kordama, muudavad selle meediumipleieri kasutajate jaoks üsna mõistatuslikuks. Kas VLC Media Playerit on vahepeal ohutu kasutada, kuna probleem pole nii tõsine, kui algselt soovitati, või pole see üldse haavatav?
Asjade lahendamiseks võib kuluda natuke aega. Kasutajad said vahepeal kasutada mõnda muud meediumipleierit või usaldada VideoLANi hinnangut probleemile. Süsteemides olevate failide täitmisel on alati hea olla ettevaatlik, eriti kui need pärinevad Internetist ja allikatest, mida ei saa sajaprotsendiliselt usaldada.
Nüüd sina : milline on teie arvamus kogu selles küsimuses? (Deskmodderi kaudu)
