Кілька годин тому a недолік безпеки у VLC що позначено 9.8 із 10 на шкалі небезпеки. "Критичну помилку" виявив CERT-Bund та опублікував WinFuture (німецькою мовою), де вони описують уразливість, яка дозволяє віддалено виконувати код, що може дозволити віддаленому зловмисному користувачеві встановлювати, модифікувати або виконувати код, не помічаючи і навіть не отримуючи доступ до файлів у нашій системі. Він також поширився Митра.
Зачепленими версіями будуть версії Linux, Windows та Unix, при цьому macOS буде в безпеці, все відповідно до WinFuture та решти джерел, які поширювали цю інформацію. Хороша новина полягає в тому, що ніхто не використовував уразливість, що разом із версією VideoLan залишає нас замислюватися, чи все це справжнє чи помилкова тривога. Але правда полягає в тому, що версія VideoLan або третя сторона, яка заявила, що створила 60% патч, залишає нам більше сумнівів у тому, що відбувається.
Не помилка VLC
Ви хоч це перевіряли?
Тут ніхто не може відтворити цю проблему.- VideoLAN (@videolan) Липень 23, 2019
Ви хоч це перевіряли? Тут ніхто не може відтворити цю проблему »
На момент написання цієї статті VideoLan здається дуже обуреним тим, що зробили CVE та Mitre. Спочатку вони скаржаться що вони роками взагалі не контактували з ними, і тепер вони публікують це рішення, нічого не кажучи їм. Тоді вони так кажуть не глюк VLC, але зі сторонньої бібліотеки, пов’язаної з файлами MKV, яку виправляли місяцями:
Про "проблему безпеки" на #VLC : VLC не є вразливим.
tl; dr: випуск знаходиться у сторонній бібліотеці під назвою libebml, яка була виправлена понад 3 місяців тому.
VLC, оскільки версія 3.0.3 має правильну версію, та @MITREcorp навіть не перевірив їх претензію.тема:
- VideoLAN (@videolan) Липень 24, 2019
"Про" недолік безпеки "у #VLC": VLC не є вразливим. tl; dr: помилка знаходиться у сторонній бібліотеці під назвою libebml, яка була виправлена більше 16 місяців тому. VLC постачає правильну версію з 3.0.3, і Мітр навіть не перевірив, що він опублікував »
Дуже складна помилка для використання
У компанії, яка розробляє одного з найпопулярніших гравців на планеті, є ще одна скарга: як це можливо глюк, який неможливо використати досягла 9.8 з 10 за шкалою небезпеки? Вони також говорять, що в гіршому випадку неможливо викрасти дані з комп’ютера або дистанційно виконати код, найсерйозніший з яких спричиняє "збій" в операційній системі.
VideoLan вже використовується патч що вирішує a невдача, що вони кажуть, що це вже не існує на плеєрі. Вони запевняють, що це виправлено з VLC v3.0.3, але лише кілька хвилин тому вони позначили цей патч як "закритий". Правда полягає в тому, що 3.0.3 справді відображається як постраждала версія. Як би цього було недостатньо, NIST змінився в'їзд про цю вразливість, кажучи, що «Ця вразливість була змінена з моменту останнього аналізу NVD. Ви чекаєте нового аналізу, який може призвести до нових змін у наданій інформації", що означає, що перші аналізи не правильні.
Одні кажуть, що використовувати VLC надзвичайно небезпечно, навіть рекомендували видалити його, інші кажуть, що вам потрібно перевірити, що опубліковано, і що помилка не існує, інші модифікують свої оригінальні статті ... Єдина впевнена річ полягає в тому, що я не видаляю VLC.
