Forvirring om en for nylig afsløret sårbarhed i VLC Media Player
- Kategori: Sikkerhed
Rapporter begyndte at dukke op på Internettet om en kritisk sikkerhedssårbarhed i den populære multimediaspiller VLC Media Player.
Opdatering : VideoLAN bekræftet at problemet ikke var et sikkerhedsproblem i VLC Media Player. Ingeniørerne opdagede, at problemet var forårsaget af en ældre version af tredjepartsbiblioteket kaldet libebml, der var inkluderet i ældre versioner af Ubuntu. Forskeren brugte tilsyneladende den ældre version af Ubuntu. Ende
Gizmodos Sam Rutherford foreslået at brugere afinstallerer VLC øjeblikkeligt, og tenoren for andre tech-magasiner og -sider var stort set identisk. Sensationalistiske overskrifter og historier genererer masser af sidevisninger og klik, og det er sandsynligvis den vigtigste grund til, at websteder kan lide at gøre brug af dem i stedet for at fokusere på overskrifter og artikler, der ikke er så sensationelle.
Fejlrapporten, arkiveret under CVE-2019-13.615 , vurderer problemet som kritisk og anfører, at det påvirker VLC Media Player 3.0.7.1 og tidligere versioner af medieafspilleren.
Alle desktopversioner af VLC Media Player, der er tilgængelige til Windows, Linux og Mac OS X, er berørt af problemet i henhold til beskrivelsen. En hacker kan udføre kode eksternt på berørte enheder, hvis sårbarheden udnyttes med succes i henhold til fejlrapporten.
Beskrivelsen af problemet er teknisk, men det giver værdifuld information om sårbarheden alligevel:
VideoLAN VLC medieafspiller 3.0.7.1 har en heap-baseret buffer, der er overlæst i mkv :: demux_sys_t :: FreeUnused () i moduler / demux / mkv / demux.cpp, når der kaldes fra mkv :: Åbn i moduler / demux / mkv / mkv.cpp.
Sårbarheden kan kun udnyttes, hvis brugerne åbner specifikt forberedte filer ved hjælp af VLC Media Player. En prøvemediefil, der bruger mp4-formatet, er knyttet til bugsporlisten, som ser ud til at bekræfte dette.
VLC-ingeniører har annonce vanskeligheder gengivelse af det problem, der blev indgivet på det officielle bugsporingssite for fire uger siden.
Projektleder Jean-Baptiste Kempf skrev i går, at han ikke kunne gengive fejlen, da den overhovedet ikke styrtede VLC. Andre, f.eks. Rafael Rivera, kunne ikke gengive problemet også på flere VLC Media Player-bygninger.
VideoLAN gik til Twitter for at skamme de rapporterende organisationer MITER og CVE.
Hej @MITREcorp og @ CVEnew, det faktum, at du ALDRIG nogensinde kontakter os for VLC-sårbarheder i årevis før publicering er virkelig ikke cool; men i det mindste kan du tjekke dine oplysninger eller kontrollere dig selv, før du sender 9.8 CVSS-sårbarhed offentligt ...
Åh, btw, dette er ikke en VLC-sårbarhed ...
Organisationerne informerede ikke VideoLAN om sårbarheden i avanceret i henhold til VideoLAN's indlæg på Twitter.
Hvad VLC Media Player-brugere kan gøre
De problemer, som ingeniører og forskere har til at gentage spørgsmålet, gør det ret til den forundrende affære for brugere af medieafspilleren. Er VLC Media Player sikkert at bruge i mellemtiden, fordi problemet ikke er så alvorligt som oprindeligt antydet eller slet ikke er en sårbarhed?
Det kan tage et stykke tid, før tingene bliver ordnet ud. Brugere kunne bruge en anden medieafspiller i mellemtiden eller stole på VideoLANs vurdering af problemet. Det er altid en god ide at være forsigtig, når det kommer til udførelse af filer på systemer, især når de kommer fra Internettet og derfra fra kilder, der ikke kan stole på 100%.
Din tur : Hvad tager du for hele sagen? (via Deskmodder )