Paar tundi tagasi a VLC turvaviga mis on ohuskaalal tähistatud 9.8-ga 10-st. "Kriitilise ebaõnnestumise" on avastanud CERT-Bund ja selle on avaldanud WinFuture (saksa keeles), kus nad kirjeldavad haavatavust, mis võimaldab koodi kaugkäivitamist, mis võib lubada pahatahtlikul kaugkasutajal koodi installida, muuta või käivitada, ilma et me oma süsteemis failidele märkaksime või neile juurde pääseksime. Seda on levitanud ka Mitre.
Mõjutatud versioonid oleksid Linuxi, Windowsi ja Unixi versioonid, kusjuures MacOS oleks turvaline, kõik vastavalt WinFuture'ile ja ülejäänud seda teavet levitanud allikatele. Hea uudis on see, et keegi pole haavatavust ära kasutanud, mis koos VideoLani versiooniga paneb meid mõtlema, kas see kõik on tõeline või valehäire. Kuid tõsi on see, et VideoLani versioon või kolmanda osapoole versioon, mis ütles, et nad on loonud 60% plaastri, jätab meid toimuva suhtes rohkem kahtlusteks.
Mitte VLC-viga
Kas kontrollisite seda üldse?
Keegi ei saa seda teemat siin reprodutseerida.- VideoLAN (@videolan) Juuli 23, 2019
Kas olete seda isegi kontrollinud? Keegi ei saa seda teemat siin reprodutseerida »
Selle kirjutamise ajal näib VideoLan olevat väga nördinud selle üle, mida CVE ja Mitre on teinud. Esiteks nad kurdavad et nad pole nendega aastaid üldse suhelnud ja nüüd avaldavad nad selle määruse neile midagi ütlemata. Siis nad ütlevad seda mitte VLC tõrge, kuid MKV-failidega seotud kolmanda osapoole raamatukogust, mis on kuudeks parandatud:
Teave turvaküsimuse kohta #VLC : VLC pole haavatav.
tl; dr: probleem on kolmanda osapoole teegis libebml, mis on parandatud rohkem kui 3 kuud tagasi.
VLC, kuna versioonist 3.0.3 on tarnitud õige versioon, ja @MITREcorp isegi ei kontrollinud nende nõuet.Teema:
- VideoLAN (@videolan) Juuli 24, 2019
"#VLC" turvavea kohta ": VLC pole haavatav. tl; dr: viga asub kolmanda osapoole teegis libebml, mis parandati rohkem kui 16 kuud tagasi. VLC pakub õiget versiooni alates 3.0.3 ja Mitre ei kontrollinud isegi, mida ta on avaldanud »
Väga keeruline viga, mida on võimalik ära kasutada
Ühel planeedi populaarseimat mängijat arendaval ettevõttel on ka teine kaebus: kuidas see on võimalik tõrge, mida ei saa ära kasutada on saavutanud ohtlikkuse skaalal 9.8 kümnest? Nad ütlevad ka, et halvimal juhul on võimatu arvutist andmeid varastada ega koodi kaugjuhtida, kõige tõsisem on operatsioonisüsteemis "krahhi" tekitamine.
VideoLan on juba kasutusel plaaster mis lahendab a Kui ei öelda, et seda pole enam olemas oma mängijas. Nad kinnitavad, et see on parandatud alates VLC v3.0.3-st, kuid vaid mõni minut tagasi märkisid nad selle plaastri "suletuks". Tõde on see, et 3.0.3 ilmub mõjutatud versioonina. Nagu sellest veel vähe oleks, on NIST muudetud sissekanne selle haavatavuse kohta öeldes, et «Seda haavatavust on muudetud alates sellest, kui NVD seda viimati analüüsis. Ootate uut analüüsi, mis võib viia pakutavas teabes uute muudatusteni", mis tähendab, et esimesed analüüsid pole õiged.
Mõni ütleb, et VLC kasutamine on üliohtlik, seda on isegi soovitatav desinstallida, teised ütlevad, et peate kontrollima, mis on avaldatud ja et viga pole olemas, teised muudavad oma algseid artikleid ... Ainus kindel asi on see, et ma ei desinstalli VLC-d.