Confuzie despre o vulnerabilitate dezvăluită recent în VLC Media Player

Rapoarte au început să apară pe Internet despre o vulnerabilitate critică de securitate în popularul player multimedia VLC Media Player.

Actualizare : VideoLAN a confirmat că problema nu a fost o problemă de securitate în VLC Media Player. Inginerii au detectat că problema a fost cauzată de o versiune mai veche a bibliotecii terțe numită libebml care a fost inclusă în versiunile mai vechi ale Ubuntu. Aparent, cercetătorul a folosit acea versiune mai veche a Ubuntu. Sfârșit

Sam Rutherford, de la Gizmodo, a sugerat utilizatorilor să dezinstaleze VLC imediat, iar tenorul altor reviste și site-uri tehnologice a fost identic în mare parte. Titlurile și poveștile senzaționaliste generează o mulțime de vizualizări de pagini și clicuri și acesta este probabil motivul principal pentru care site-urile le place să le folosească pe acestea în loc să se concentreze pe titluri și articole care nu sunt la fel de senzaționaliste.

Raportul erorilor, înregistrat în CVE-2019-13615, evaluează problema ca fiind critică și afirmă că afectează VLC Media Player 3.0.7.1 și versiunile anterioare ale playerului media.

Toate versiunile de desktop ale VLC Media Player, disponibile pentru Windows, Linux și Mac OS X, sunt afectate de problema conform descrierii. Un atacator ar putea executa codul de la distanță pe dispozitivele afectate dacă vulnerabilitatea este exploatată cu succes, conform raportului de eroare.

Descrierea problemei este tehnică, însă oferă informații valoroase despre vulnerabilitate:

VideoLAN VLC media player 3.0.7.1 are un tampon bazat pe heap supra-citit în mkv :: demux_sys_t :: FreeUnused () în module / demux / mkv / demux.cpp când este apelat de la mkv :: Deschis în module / demux / mkv / mkv.cpp.

Vulnerabilitatea poate fi exploatată numai dacă utilizatorii deschid fișiere pregătite special utilizând VLC Media Player. Un fișier media de exemplu care folosește formatul mp4 este atașat la lista de track-uri de eroare care pare să confirme acest lucru.

Inginerii VLC întâmpină dificultăți în reproducerea problemei care a fost depusă pe site-ul oficial de urmărire a erorilor în urmă cu patru săptămâni.

Liderul proiectului, Jean-Baptiste Kempf, a postat ieri că nu poate reproduce eroarea, deoarece nu a blocat VLC deloc. Alții, de exemplu, Rafael Rivera, nu au putut reproduce problema pe mai multe versiuni VLC Media Player.

VideoLAN a mers pe Twitter pentru a rușina organizațiile de raportare MITER și CVE.

Hei @MITREcorp și @CVEnew, faptul că NICIODATĂ nu ne-ai contactat pentru vulnerabilități VLC de ani de zile înainte de publicare nu este cu adevărat cool; dar cel puțin ai putea verifica informațiile tale sau te poți verifica înainte de a trimite vulnerabilitatea 9.8 CVSS în mod public ...

Oh, btw, aceasta nu este o vulnerabilitate VLC ...

Organizațiile nu au informat VideoLAN despre vulnerabilitatea avansată, potrivit postării VideoLAN pe Twitter.

Ce pot face utilizatorii VLC Media Player

Problemele pe care inginerii și cercetătorii trebuie să le replică fac ca problema să fie destul de nedumeritoare pentru utilizatorii media playerului. VLC Media Player este sigur de utilizat între timp, deoarece problema nu este atât de severă pe cât a sugerat inițial sau nu este deloc vulnerabilă?

Poate dura ceva până să se rezolve lucrurile. Utilizatorii ar putea între timp să folosească un alt player media sau să aibă încredere în evaluarea problemei oferite de VideoLAN. Este întotdeauna o idee bună să fii atent când vine vorba de executarea fișierelor pe sisteme, mai ales atunci când provin de pe Internet și de acolo din surse care nu pot fi de încredere 100%.

Acum Tu : Care este decizia ta asupra întregii probleme? (prin intermediul Deskmodder)