Muutama tunti sitten a turvallisuusvirhe VLC: ssä joka on merkitty 9.8: lla kymmenestä vaaraluokassa. CERT-Bund on löytänyt "kriittisen epäonnistumisen" ja julkaissut sen WinFuture (saksaksi), jossa ne kuvaavat haavoittuvuutta, joka sallii koodin etäsuorittamisen, mikä voi sallia haitallisen etäkäyttäjän asentaa, muokata tai suorittaa koodia huomaamatta tai edes pääsemästä järjestelmämme tiedostoihin. Se on levinnyt myös hiippa.
Kyseiset versiot olisivat Linux-, Windows- ja Unix-versiot, ja MacOS olisi turvallinen, kaikki WinFuturen mukaan ja muut lähteet, jotka ovat levittäneet näitä tietoja. Hyvä uutinen on, että kukaan ei ole käyttänyt haavoittuvuutta, joka yhdessä VideoLan-version kanssa saa meidät miettimään, onko tämä kaikki todellista vai väärä hälytys. Mutta totuus on, että VideoLan-versio tai kolmannen osapuolen versio, jonka mukaan he ovat luoneet 60-prosenttisen korjaustiedoston, antaa meille enemmän epäilyksiä siitä, mitä tapahtuu.
Ei VLC-vika
Tarkistitko edes tämän?
Kukaan ei voi toistaa tätä kysymystä täällä.- VideoLAN (@videolan) Heinäkuu 23, 2019
Oletko edes tarkistanut tämän? Kukaan ei voi toistaa tätä numeroa täällä »
Tämän kirjoituksen ajankohtana VideoLan näyttää olevan hyvin raivoissaan siitä, mitä CVE ja Mitre ovat tehneet. Ensimmäinen he valittavat että he eivät ole olleet yhteydessä heihin lainkaan vuosien ajan ja nyt he julkaisevat tämän päätöksen kertomatta heille mitään. Sitten he sanovat sen ei VLC-häiriö, mutta MKV-tiedostoihin liittyvästä kolmannen osapuolen kirjastosta, joka on korjattu kuukausia:
Tietoja "turvallisuuskysymyksestä" #VLC : VLC ei ole haavoittuva.
tl; dr: ongelma on kolmannen osapuolen kirjastossa nimeltä libebml, joka korjattiin yli 3 kuukautta sitten.
VLC, koska versiosta 3.0.3 on lähetetty oikea versio, ja @MITREcorp eivät edes tarkistaneet heidän vaatimuksiaan.Kierre:
- VideoLAN (@videolan) Heinäkuu 24, 2019
"Tietoja #VLC: n" turvallisuusvirheestä ": VLC ei ole haavoittuva. tl; dr: vika on kolmannen osapuolen kirjastossa nimeltä libebml, joka korjattiin yli 16 kuukautta sitten. VLC on toimittanut oikean version 3.0.3: sta lähtien, eikä Mitre edes tarkistanut julkaisemiaan »
Erittäin vaikea vika hyödyntää
Yhtiöllä, joka kehittää yhden suosituimmista pelaajista planeetalla, on myös toinen valitus: miten se on mahdollista häiriö, jota ei voida hyödyntää on saavuttanut vaarallisuusasteikolla 9.8 / 10? He sanovat myös, että pahimmassa tapauksessa on mahdotonta varastaa tietoja tietokoneelta tai suorittaa koodia etänä, vakavin asia on aiheuttaa "kaatuminen" käyttöjärjestelmässä.
VideoLan on jo käytetty laastari joka ratkaisee a Jos sitä ei sanota, sitä ei enää ole soittimellasi. He vakuuttavat, että se on korjattu VLC v3.0.3: n jälkeen, mutta vain muutama minuutti sitten he merkitsivät kyseisen korjaustiedoston "suljetuksi". Totuus on, että 3.0.3 esiintyy kyseisenä versiona. Ikään kuin se ei olisi tarpeeksi, NIST on muuttanut merkintä tästä haavoittuvuudesta sanomalla, että «Tätä heikkoutta on muokattu siitä lähtien, kun NVD analysoi sen viimeksi. Odotat uutta analyysia, joka voi johtaa uusiin muutoksiin annetuissa tiedoissa", mikä tarkoittaa sitä ensimmäiset analyysit eivät ole oikeita.
Jotkut sanovat, että VLC: n käyttö on erittäin vaarallista, on jopa suositeltavaa poistaa se, toiset sanovat, että sinun on tarkistettava, mitä on julkaistu ja ettei virhettä ole olemassa, toiset muokkaavat alkuperäisiä artikkeleitaan ... Ainoa varma asia on, että en poista VLC: tä.