For et par timer siden a sikkerhedsfejl i VLC der er markeret med en 9.8 ud af 10 på fareskalaen. Den "kritiske fiasko" blev opdaget af CERT-Bund og udgivet af WinFuture (på tysk), hvor de beskriver en sårbarhed, der tillader fjernudførelse af kode, som kan give en fjern ondsindet bruger mulighed for at installere, ændre eller udføre kode uden at vi bemærker eller endda får adgang til filer på vores system. Det er også blevet spredt af Gerning.
De berørte versioner ville være dem af Linux, Windows og Unix, idet macOS er sikkert, alt sammen ifølge WinFuture og resten af de kilder, der har formidlet denne information. Den gode nyhed er, at ingen har udnyttet sårbarheden, som sammen med VideoLan-versionen lader os undre sig over, om alt dette er ægte eller falsk alarm. Men sandheden er, at VideoLan-versionen eller en tredjepartsversion, der sagde, at de havde oprettet en patch på 60%, efterlader os mere tvivl om, hvad der sker.
Ikke en VLC-fejl
Kontrollerede du dette?
Ingen kan gengive dette problem her.- VideoLAN (@videolan) Juli 23, 2019
Har du selv tjekket dette? Ingen kan gengive dette problem her »
På tidspunktet for denne skrivning virker VideoLan meget oprørt over, hvad CVE og Mitre har gjort. Først klager de at de slet ikke har været i kontakt med dem i årevis, og nu offentliggør de denne afgørelse uden at fortælle dem noget. Så siger de det ikke en VLC-fejl, men fra et tredjepartsbibliotek relateret til MKV-filer, som er blevet rettet i flere måneder:
Om "sikkerhedsproblemet" den #VLC : VLC er ikke sårbar.
tl; dr: problemet findes i et tredjepartsbibliotek, kaldet libebml, som blev rettet for mere end 3 måneder siden.
VLC siden version 3.0.3 har den korrekte version sendt, og @MITREcorp kontrollerede ikke engang deres krav.Tråd:
- VideoLAN (@videolan) Juli 24, 2019
"Om 'sikkerhedsfejl' i #VLC": VLC er ikke sårbar. tl; dr: fejlen findes i et tredjepartsbibliotek, kaldet libebml, som blev rettet for mere end 16 måneder siden. VLC leverer den korrekte version siden 3.0.3, og Mitre kontrollerede ikke engang, hvad han har offentliggjort »
En meget vanskelig fejl at udnytte
Virksomheden, der udvikler en af de mest populære spillere på planeten, har også en anden klage: hvordan er det muligt en fejl, der ikke kan udnyttes har opnået en 9.8 ud af 10 på farlighedsskalaen? De siger også, at det i værste fald er umuligt at stjæle data fra computeren eller udføre kode eksternt, hvor det mest alvorlige forårsager et "nedbrud" i operativsystemet.
VideoLan allerede brugt et plaster der løser en Manglende, at de siger, at det ikke længere eksisterer på din afspiller. De forsikrer, at det er rettet siden VLC v3.0.3, men for kun få minutter siden markerede de patch'en som "lukket". Sandheden er, at 3.0.3 vises som den berørte version. Som om det ikke var nok, har NIST ændret sig indgang om denne sårbarhed, der siger, at «Denne sårbarhed er blevet ændret, siden den sidst blev analyseret af NVD. Du venter på en ny analyse, der kan føre til nye ændringer i de leverede oplysninger", hvilket betyder at de første analyser er ikke korrekte.
Nogle siger, at det er superfarligt at bruge VLC, det er endda blevet anbefalet at afinstallere det, andre siger, at du skal kontrollere, hvad der er offentliggjort, og at fejlen ikke findes, andre ændre deres originale artikler ... Den eneste sikre ting er, at jeg ikke afinstallerer VLC.
