قبل ساعات قليلة أ ثغرة أمنية في VLC التي تم تمييزها بـ 9.8 من 10 على مقياس الخطر. تم اكتشاف "الفشل الخطير" بواسطة CERT-Bund ونشره الثروة الحيوانية Winfuture (باللغة الألمانية) ، حيث يصفون ثغرة أمنية تسمح بتنفيذ التعليمات البرمجية عن بُعد ، والتي قد تسمح لمستخدم ضار عن بُعد بتثبيت أو تعديل أو تنفيذ التعليمات البرمجية دون أن نلاحظ أو نصل إلى الملفات الموجودة على نظامنا. كما تم انتشاره عن طريق قلنسوة.
ستكون الإصدارات المتأثرة هي تلك الخاصة بـ Linux و Windows و Unix ، مع نظام macOS آمن ، كل ذلك وفقًا لـ WinFuture وبقية المصادر التي نشرت هذه المعلومات. والخبر السار هو أنه لم يستغل أحد الثغرة الأمنية ، والتي ، جنبًا إلى جنب مع إصدار VideoLan ، تجعلنا نتساءل عما إذا كان كل هذا حقيقيًا أم انذار كاذب. لكن الحقيقة هي أن إصدار VideoLan ، أو طرف ثالث قال إنه أنشأ رقعة بنسبة 60٪ ، يترك لنا المزيد من الشكوك حول ما يحدث.
ليس خطأ VLC
هل قمت بفحص هذا حتى؟
لا أحد يستطيع إعادة إنتاج هذه المشكلة هنا.- VideoLAN (videolan) 23 تموز، 2019
هل راجعت هذا حتى؟ لا يمكن لأحد إعادة إظهار هذه المشكلة هنا »
في وقت كتابة هذا التقرير ، بدا VideoLan غاضبًا للغاية مما فعلته CVE و Mitre. أولا هم يشكون أنهم لم يتواصلوا معهم على الإطلاق منذ سنوات وهم الآن ينشرون هذا الحكم دون إخبارهم بأي شيء. ثم يقولون ذلك ليس خلل في VLC، ولكن من مكتبة تابعة لجهة خارجية ذات صلة بملفات MKV ، والتي تم تصحيحها لعدة أشهر:
حول "مشكلة أمنية" في #VLC : VLC ليس عرضة للخطر.
tl ؛ dr: المشكلة موجودة في مكتبة تابعة لجهة خارجية ، تسمى libebml ، والتي تم إصلاحها منذ أكثر من 3 شهرًا.
تم شحن الإصدار الصحيح من VLC منذ الإصدار 3.0.3 ، و تضمين التغريدة لم تتحقق حتى من مطالبتهم.خيط:
- VideoLAN (videolan) 24 تموز، 2019
"حول" الثغرة الأمنية "في #VLC": VLC ليس عرضة للخطر. tl ؛ dr: الخطأ موجود في مكتبة تابعة لجهة خارجية ، تسمى libebml ، والتي تم إصلاحها منذ أكثر من 16 شهرًا. يقدم VLC الإصدار الصحيح منذ 3.0.3 ، ولم يتحقق ميتري حتى مما نشره »
حشرة صعبة للغاية لاستغلالها
الشركة التي طورت أحد أشهر اللاعبين على هذا الكوكب لديها أيضًا شكوى أخرى: كيف يمكن ذلك خلل لا يمكن استغلاله حقق 9.8 من 10 على مقياس الخطورة؟ يقولون أيضًا أنه في أسوأ الحالات ، من المستحيل سرقة البيانات من الكمبيوتر أو تنفيذ التعليمات البرمجية عن بُعد ، وأسوأ ما في الأمر هو التسبب في "انهيار" في نظام التشغيل.
VideoLan مستخدم بالفعل التصحيح هذا يحل أ عدم قولهم إنه لم يعد موجودًا على المشغل الخاص بك. أكدوا أنه تم تصحيحه منذ VLC v3.0.3 ، ولكن قبل بضع دقائق فقط وضعوا علامة على هذا التصحيح على أنه "مغلق". الحقيقة هي أن 3.0.3 تظهر كنسخة متأثرة. كما لو أن ذلك لم يكن كافيًا ، فقد تم تعديل NIST دخول حول هذه الثغرة الأمنية قائلاً:تم تعديل هذه الثغرة الأمنية منذ آخر مرة تم تحليلها بواسطة NVD. أنت في انتظار تحليل جديد قد يؤدي إلى تغييرات جديدة في المعلومات المقدمة"، وهو ما يعني أن التحليلات الأولى غير صحيحة.
يقول البعض أنه من الخطورة جدًا استخدام برنامج VLC ، وقد تمت التوصية بإلغاء تثبيته ، ويقول آخرون إنه يجب عليك التحقق مما تم نشره وأن الخطأ غير موجود ، والبعض الآخر يعدل مقالاتهم الأصلية ... الشيء الوحيد المؤكد هو أنني لا أقوم بإلغاء تثبيت VLC.