Internetissä alkoi ilmestyä suositun multimediasoittimen VLC Media Playerin kriittistä tietoturvahaavoitusta.
Päivitys : VideoLAN vahvisti, että ongelma ei ollut VLC Media Playerin tietoturvaongelma. Suunnittelijat havaitsivat, että ongelman aiheutti kolmannen osapuolen kirjaston vanhempi versio, nimeltään libebml, joka sisältyy Ubuntun vanhempiin versioihin. Tutkija käytti ilmeisesti Ubuntun sitä vanhempaa versiota. pää
Gizmodon Sam Rutherford ehdotti, että käyttäjät poistavat VLC: n heti ja muiden teknisten aikakauslehtien ja sivustojen sisältö oli pääosin identtinen. Sensaationaaliset otsikot ja tarinat tuottavat paljon sivun katselua ja napsautuksia, ja se on todennäköisesti tärkein syy, miksi sivustot haluavat käyttää niitä, sen sijaan, että keskitytään otsikoihin ja artikkeleihin, jotka eivät ole yhtä sensaatiomaisia.
Virheraportti, joka on jätetty numerolla CVE-2019-13615, arvioi ongelman kriittiseksi ja toteaa, että se vaikuttaa VLC Media Player 3.0.7.1: ään ja mediasoittimen aiempiin versioihin.
Kaikista VLC Media Playerin työpöytäversioista, jotka ovat saatavana Windowsille, Linuxille ja Mac OS X: lle, ongelma vaikuttaa kuvauksen mukaan. Hyökkääjä voi suorittaa koodin etäkäyttöä kosketuissa laitteissa, jos haavoittuvuutta käytetään hyväksi virheraportin mukaan.
Aiheen kuvaus on tekninen, mutta se tarjoaa kuitenkin arvokasta tietoa haavoittuvuudesta:
VideoLAN VLC -mediasoittimessa 3.0.7.1 on kasapohjainen puskuri, joka on luettu yli mkv: demux_sys_t :: FreeUnused () moduuleissa / demux / mkv / demux.cpp kun soitetaan mkv: stä :: Avaa moduuleissa / demux / mkv / mkv.cpp.
Haavoittuvuutta voidaan hyödyntää vain, jos käyttäjät avaavat erityisesti valmistettuja tiedostoja VLC Media Playerin avulla. Näyte mediatiedostosta, joka käyttää mp4-muotoa, liitetään virheraiteluetteloon, joka näyttää vahvistavan tämän.
VLC-insinööreillä on mainosvaikeuksia toistettaessa ongelmaa, joka tehtiin viralliselle virheenseuranta sivustolle neljä viikkoa sitten.
Projektin vetäjä Jean-Baptiste Kempf lähetti eilen, että hän ei voinut toistaa virhettä, koska se ei kaatanut VLC: tä ollenkaan. Muut, esimerkiksi Rafael Rivera, eivät pystyneet toistamaan ongelmaa useissa VLC Media Player -rakenteissa.
VideoLAN meni Twitteriin häpettääkseen raportoivia organisaatioita MITERiä ja CVE: tä.
Hei @MITREcorp ja @CVEnew, se, että et koskaan koskaan ota meihin yhteyttä VLC-haavoittuvuuksien varalta vuosia ennen julkaisemista, ei todellakaan ole hienoa; mutta ainakin voit tarkistaa tietosi tai tarkistaa itsesi ennen 9.8 CVSS-haavoittuvuuden lähettämistä julkisesti ...
Voi, btw, tämä ei ole VLC-haavoittuvuus ...
VideoLAN: n Twitterissä lähettämän viestin mukaan organisaatiot eivät ilmoittaneet VideoLAN: lle edistyneestä haavoittuvuudesta.
Mitä VLC Media Player -käyttäjät voivat tehdä
Suunnittelijoiden ja tutkijoiden toistaman ongelman vuoksi se on melko hämmentävä asia mediasoittimen käyttäjille. Onko VLC Media Player turvallista käyttää sillä välin, koska ongelma ei ole niin vakava kuin alun perin ehdotettiin vai ei siinä ollenkaan haavoittuvuutta?
Voi viedä hetken, ennen kuin asiat selvitetään. Käyttäjät voivat tällä välin käyttää toista mediasoitinta tai luottaa VideoLAN: n arviointiin ongelmasta. Aina on hyvä olla varovainen tiedostojen suorittamisessa järjestelmissä, etenkin kun ne tulevat Internetistä ja lähteistä, joihin ei voida luottaa 100-prosenttisesti.
Nyt sinä : Mikä on sinun kanssasi koko asiaan? (Deskmodderin kautta)
