'N Paar uur gelede a veiligheid fout in VLC wat met 'n 9.8 uit 10 op die gevaarskaal gemerk is. Die "kritieke mislukking" is ontdek deur die CERT-Bund en gepubliseer deur WinFuture (in Duits), waar hulle 'n kwesbaarheid beskryf wat die uitvoering van eksterne kode moontlik maak, wat 'n eksterne kwaadwillige gebruiker in staat kan stel om kode te installeer, te wysig of uit te voer sonder dat ons opgemerk word of selfs toegang tot lêers op ons stelsel het. Dit is ook versprei deur tulband.
Die weergawes wat geraak word, is dié van Linux, Windows en Unix, met die MacOS veilig, alles volgens WinFuture en die res van die bronne wat hierdie inligting versprei het. Die goeie nuus is dat niemand die kwesbaarheid benut het nie, wat saam met die VideoLan-weergawe ons laat wonder of dit alles werklik is of vals alarm. Maar die waarheid is dat die VideoLan-weergawe, of 'n derdeparty-weergawe wat gesê het dat hulle 'n patch van 60% geskep het, ons meer twyfel laat oor wat gebeur.
Nie 'n VLC-fout nie
Het u dit selfs nagegaan?
Niemand kan hierdie kwessie hier weergee nie.- VideoLAN (@videolan) Julie 23, 2019
Het u dit selfs nagegaan? Niemand kan hierdie kwessie hier weergee nie »
Ten tye van hierdie skrywe lyk VideoLan baie woedend oor wat CVE en Mitre gedoen het. Eerste kla hulle dat hulle al jare lank glad nie meer met hulle in kontak was nie en nou publiseer hulle hierdie beslissing sonder om hulle iets te vertel. Dan sê hulle dit nie 'n VLC-fout nie, maar uit 'n derdeparty-biblioteek wat verband hou met MKV-lêers, wat maande lank reggestel is:
Oor die "veiligheidskwessie" op #VLC : VLC is nie kwesbaar nie.
tl; dr: die probleem is in 'n derde party biblioteek, genaamd libebml, wat meer as 3 maande gelede reggestel is.
VLC sedert weergawe 3.0.3 word die korrekte weergawe gestuur, en @MITREcorp het nie eers hul eis nagegaan nie.draad:
- VideoLAN (@videolan) Julie 24, 2019
"Oor 'veiligheidsfout' in #VLC": VLC is nie kwesbaar nie. tl; dr: die fout is in 'n derdeparty-biblioteek, genaamd libebml, wat meer as 16 maande gelede reggestel is. VLC lewer die regte weergawe sedert 3.0.3, en Mitre het nie eers nagegaan wat hy gepubliseer het nie »
'N Baie moeilike fout om te ontgin
Die maatskappy wat een van die gewildste spelers op die planeet ontwikkel, het ook nog 'n klag: hoe is dit moontlik? 'n fout wat nie ontgin kan word nie het 'n 9.8 uit 10 op die gevaarskaal behaal? Hulle sê ook dat dit in die ergste geval onmoontlik is om data van die rekenaar te steel of kode op afstand uit te voer, waarvan die ernstigste 'n "crash" in die bedryfstelsel veroorsaak.
VideoLan reeds gebruik 'n pleister wat oplos a Ek slaag nie daarin dat hulle sê dat dit nie meer bestaan nie op u speler. Hulle verseker dat dit sedert VLC v3.0.3 reggestel is, maar slegs 'n paar minute gelede het hulle die pleister as "gesluit" gemerk. Die waarheid is dat 3.0.3 wel as die geaffekteerde weergawe verskyn. Asof dit nie genoeg is nie, het NIST verander inskrywing oor hierdie kwesbaarheid wat sê dat «Hierdie kwesbaarheid is verander sedert dit laas deur NVD ontleed is. U wag op 'n nuwe ontleding wat kan lei tot nuwe veranderinge in die inligting wat verskaf word", wat beteken dat die eerste ontledings is nie korrek nie.
Sommige sê dat dit super gevaarlik is om VLC te gebruik, dit is selfs aanbeveel om dit te verwyder, ander sê dat u moet kyk wat gepubliseer word en dat die fout nie bestaan nie, ander wysig hul oorspronklike artikels ... Die enigste seker ding is dat ek VLC nie verwyder nie.
Wees die eerste om te kommentaar lewer