Před několika hodinami a bezpečnostní chyba ve VLC který je na stupnici nebezpečí označen 9.8 z 10. „Kritické selhání“ objevil CERT-Bund a publikoval jej WinFuture (v němčině), kde popisují chybu zabezpečení, která umožňuje vzdálené spuštění kódu, což by mohlo vzdálenému uživateli se zlými úmysly umožnit instalaci, úpravy nebo spuštění kódu, aniž bychom si toho všimli nebo dokonce přistupovali k souborům v našem systému. Bylo také rozšířeno Mitre.
Ovlivněné verze by byly verze Linux, Windows a Unix, přičemž macOS je bezpečný, vše podle WinFuture a ostatních zdrojů, které tyto informace šířily. Dobrou zprávou je, že nikdo nevyužil zranitelnost, která nás spolu s verzí VideoLan nechává přemýšlet, jestli je to všechno skutečné nebo falešný poplach. Pravdou však je, že verze VideoLan nebo třetí strana, která uvedla, že vytvořila 60% opravu, v nás zanechává další pochybnosti o tom, co se děje.
Není to chyba VLC
Zkontroloval jsi to vůbec?
Nikdo zde nemůže tento problém reprodukovat.- VideoLAN (@videolan) Července 23, 2019
Zkontrolovali jste to dokonce? Toto číslo nemůže nikdo reprodukovat »
V době psaní tohoto článku se VideoLan zdá být velmi pobouřen tím, co CVE a Mitre udělali. První stěžují si že s nimi už roky nejsou vůbec v kontaktu a nyní toto rozhodnutí zveřejňují, aniž by jim něco řekli. Pak to řeknou není závada VLC, ale z knihovny třetí strany související se soubory MKV, která byla opravena měsíce:
O „bezpečnostním problému“ v #VLC : VLC není zranitelný.
tl; dr: problém je v knihovně třetí strany s názvem libebml, která byla opravena před více než 3 měsíci.
VLC od verze 3.0.3 obsahuje správnou verzi a @MITREcorp ani nekontroloval jejich nárok.Vlákno:
- VideoLAN (@videolan) Července 24, 2019
„O„ bezpečnostní chybě “v #VLC“: VLC není zranitelný. tl; dr: chyba je v knihovně třetí strany s názvem libebml, která byla opravena před více než 16 měsíci. VLC přináší správnou verzi od 3.0.3 a Mitre ani nekontroloval, co publikoval »
Velmi obtížná chyba, kterou lze zneužít
Společnost, která vyvíjí jednoho z nejpopulárnějších hráčů na planetě, má také další stížnost: jak je to možné závada, kterou nelze zneužít dosáhl 9.8 z 10 na stupnici nebezpečnosti? Rovněž říkají, že v nejhorším případě je nemožné ukrást data z počítače nebo spustit kód na dálku, přičemž nejzávažnější příčinou je „havárie“ operačního systému.
VideoLan je již použit oprava který řeší a selhání, že říkají, že již neexistuje na vašem přehrávači. Ujišťují, že je opravena od verze VLC v3.0.3, ale před pár minutami označili tuto opravu jako „uzavřenou“. Pravdou je, že 3.0.3 se jeví jako ovlivněná verze. Jako by to nestačilo, NIST se upravil vstup o této zranitelnosti říká, že «Tato chyba zabezpečení byla od poslední analýzy NVD změněna. Čekáte na novou analýzu, která může vést k novým změnám v poskytovaných informacích", což znamená, že první analýzy nejsou správné.
Někteří říkají, že je velmi nebezpečné používat VLC, dokonce se doporučilo jej odinstalovat, jiní říkají, že musíte zkontrolovat, co je publikováno a že chyba neexistuje, jiní upravují své původní články ... Jediná jistá věc je to, že neodinstaluji VLC.
