Vor ein paar Stunden a Sicherheitslücke in VLC Dies ist mit 9.8 von 10 auf der Gefahrenskala gekennzeichnet. Der "kritische Fehler" wurde von CERT-Bund entdeckt und von veröffentlicht WinFuture (auf Deutsch), wo sie eine Sicherheitsanfälligkeit beschreiben, die die Ausführung von Remotecode ermöglicht, wodurch ein böswilliger Remotebenutzer Code installieren, ändern oder ausführen kann, ohne dass wir Dateien auf unserem System bemerken oder sogar darauf zugreifen. Es wurde auch von verbreitet Mitre.
Die betroffenen Versionen wären die von Linux, Windows und Unix, wobei das MacOS laut WinFuture und den übrigen Quellen, die diese Informationen verbreitet haben, sicher ist. Die gute Nachricht ist, dass niemand die Sicherheitsanfälligkeit ausgenutzt hat. Zusammen mit der VideoLan-Version fragen wir uns, ob dies alles echt ist oder nicht falscher Alarm. Die Wahrheit ist jedoch, dass die VideoLan-Version oder eine Drittanbieterversion, die angibt, einen 60% -Patch erstellt zu haben, uns mehr Zweifel darüber lässt, was passiert.
Kein VLC-Fehler
Hast du das überhaupt überprüft?
Niemand kann dieses Problem hier reproduzieren.- VideoLAN (@videolan) 23. Juli 2019
Hast du das überhaupt überprüft? Niemand kann dieses Problem hier reproduzieren »
Zum Zeitpunkt dieses Schreibens scheint VideoLan sehr empört darüber zu sein, was CVE und Mitre getan haben. Zuerst Sie beschweren sich dass sie seit Jahren überhaupt nicht mehr mit ihnen in Kontakt standen und jetzt diese Entscheidung veröffentlichen, ohne ihnen etwas zu sagen. Dann sagen sie das kein VLC-Fehler, aber aus einer Drittanbieter-Bibliothek im Zusammenhang mit MKV-Dateien, die seit Monaten korrigiert wurde:
Über das "Sicherheitsproblem" auf #VLC : VLC ist nicht anfällig.
tl; dr: Das Problem befindet sich in einer Drittanbieter-Bibliothek namens libebml, die vor mehr als 3 Monaten behoben wurde.
VLC seit Version 3.0.3 hat die richtige Version ausgeliefert, und @MITREcorp habe nicht einmal ihren Anspruch überprüft.Faden:
- VideoLAN (@videolan) 24. Juli 2019
"Über die 'Sicherheitslücke' in #VLC": VLC ist nicht anfällig. tl; dr: Der Fehler befindet sich in einer Drittanbieter-Bibliothek namens libebml, die vor mehr als 16 Monaten behoben wurde. VLC liefert die korrekte Version seit 3.0.3, und Mitre hat nicht einmal überprüft, was er veröffentlicht hat »
Ein sehr schwer auszunutzender Fehler
Das Unternehmen, das einen der beliebtesten Spieler der Welt entwickelt, hat noch eine weitere Beschwerde: Wie ist das möglich? Ein Fehler, der nicht ausgenutzt werden kann hat 9.8 von 10 auf der Gefährlichkeitsskala erreicht? Sie sagen auch, dass es im schlimmsten Fall unmöglich ist, Daten vom Computer zu stehlen oder Code aus der Ferne auszuführen, wobei die schwerwiegendste Ursache ein "Absturz" im Betriebssystem ist.
VideoLan wird bereits verwendet ein Patch das löst a Fehler, dass sie sagen, dass es nicht mehr existiert auf Ihrem Player. Sie versichern, dass es seit VLC v3.0.3 korrigiert wurde, aber erst vor wenigen Minuten haben sie diesen Patch als "geschlossen" markiert. Die Wahrheit ist, dass 3.0.3 als betroffene Version angezeigt wird. Als ob das nicht genug wäre, hat NIST geändert Eintrag über diese Sicherheitslücke sagen, dass «Diese Sicherheitsanfälligkeit wurde geändert, seit sie zuletzt von NVD analysiert wurde. Sie warten auf eine neue Analyse, die zu neuen Änderungen der bereitgestellten Informationen führen kann", was bedeutet, dass Die ersten Analysen sind nicht korrekt.
Einige sagen, dass es sehr gefährlich ist, VLC zu verwenden, es wurde sogar empfohlen, es zu deinstallieren, andere sagen, dass Sie überprüfen müssen, was veröffentlicht wird und dass der Fehler nicht existiert, andere ändern ihre Originalartikel ... Das einzig sichere ist, dass ich VLC nicht deinstalliere.
