Na internetu so se začela pojavljati poročila o kritični varnostni ranljivosti v priljubljenem multimedijskem predvajalniku VLC Media Player.
Posodobitev : VideoLAN je potrdil, da težava ni bila varnostna težava v VLC Media Player. Inženirji so odkrili, da je težavo povzročila starejša različica knjižnice drugih proizvajalcev z imenom libebml, ki je bila vključena v starejše različice Ubuntuja. Raziskovalec je tisto starejšo različico Ubuntuja očitno uporabil. Konec
Sam Rutherford iz Gizmoda je predlagal, da uporabniki takoj odstranijo VLC, tenor drugih tehnoloških revij in spletnih mest pa je bil večinoma enak. Senzacionalistični naslovi in zgodbe ustvarijo veliko ogledov strani in klikov in to je verjetno glavni razlog, zakaj se spletna mesta radi poslužujejo takšnih, namesto da bi se osredotočala na naslove in članke, ki niso tako senzacionalistični.
Poročilo o napakah, vloženo pod CVE-2019-13615, oceni težavo kot kritično in navaja, da vpliva na VLC Media Player 3.0.7.1 in prejšnje različice predvajalnika medijev.
V skladu z opisom težava vpliva na vse namizne različice VLC Media Player, ki so na voljo za Windows, Linux in Mac OS X. Napadalec bi lahko na prizadeto napravi izvajal kodo na daljavo, če je ranljivost uspešno uporabljena v skladu s poročilom o napaki.
Opis izdaje je tehničen, vendar kljub temu zagotavlja dragocene informacije o ranljivosti:
VideoLAN VLC media predvajalnik 3.0.7.1 ima v bkfe-over-overerju previdno branje v mkv :: demux_sys_t :: FreeUnused () v modulih / demux / mkv / demux.cpp, ko ga pokličete iz mkv :: Odpri v modulih / demux / mkv / mkv.cpp.
Ranljivost je mogoče izkoristiti le, če uporabniki z VLC Media Player odprejo posebej pripravljene datoteke. Vzorčna predstavnostna datoteka, ki uporablja format mp4, je priložena seznamu posnetkov hroščev, ki se zdi, da to potrjuje.
Inženirji VLC imajo težave pri oglaševanju težave, ki je bila vložena na uradnem spletnem mestu za sledenje napakam pred štirimi tedni.
Vodja projekta Jean-Baptiste Kempf je včeraj objavil, da ne more reproducirati hrošča, saj sploh ni zrušil VLC-ja. Drugi, npr. Rafael Rivera, težave niso mogli ponoviti tudi na več različicah VLC Media Player.
VideoLAN je šel na Twitter, da bi sramotil poročevalski organizaciji MITER in CVE.
Pozdravljeni, @MITREcorp in @CVEnew, dejstvo, da nas nikoli več ne kontaktirate zaradi ranljivosti VLC pred objavo, res ni kul; vendar lahko vsaj preverite svoje podatke ali se prepričate, preden javno pošljete ranljivost 9.8 CVSS ...
Oh, btw, to ni ranljivost VLC ...
Organizacije niso sporočile VideoLAN-u o ranljivosti vnaprej po objavi VideoLAN-a na Twitterju.
Kaj lahko uporabniki VLC Media Playerja
Težave, ki jih morajo inženirji in raziskovalci ponoviti, so precej neprijetne zadeve za uporabnike medijskega predvajalnika. Ali je VLC Media Player medtem varna za uporabo, ker težava ni tako resna, kot je bilo sprva predlagano ali sploh ni ranljivosti?
Lahko traja nekaj časa, preden se stvari uredijo. Uporabniki bi lahko medtem uporabljali drug medijski predvajalnik ali zaupali VideoLAN-ovi oceni težave. Vedno je dobro biti previden, ko gre za izvajanje datotek v sistemih, zlasti kadar prihajajo iz interneta in tam iz virov, ki jim ni mogoče 100% zaupati.
Zdaj Vi : Kaj nameravate sprejeti v celoti? (prek Deskmodderja)
