לפני כמה שעות א פגם אבטחה ב- VLC שמסומן ב- 9.8 מתוך 10 בסולם הסכנות. "הכישלון הקריטי" התגלה על ידי CERT-Bund ופורסם על ידי WinFuture (בגרמנית), שם הם מתארים פגיעות המאפשרת ביצוע קוד מרחוק, אשר עלול לאפשר למשתמש זדוני מרחוק להתקין, לשנות או לבצע קוד מבלי שנבחין ואף לא ניגש לקבצים במערכת שלנו. זה גם הופץ על ידי Miter.
הגרסאות המושפעות יהיו אלה של לינוקס, Windows ו- Unix, כאשר ה- macOS יהיה בטוח, הכל לפי WinFuture ושאר המקורות שהפיצו מידע זה. החדשות הטובות הן שאיש לא ניצל את הפגיעות, שביחד עם גרסת VideoLan, משאירה אותנו תוהים אם כל זה אמיתי או אזעקת שווא. אבל האמת היא שגרסת VideoLan, או צד שלישי שאמר שהם יצרו תיקון של 60%, משאירים לנו יותר ספקות לגבי המתרחש.
לא באג VLC
האם בכלל בדקת זאת?
איש אינו יכול לשחזר את הנושא הזה כאן.- VideoLAN (@videolan) 23 ביולי 2019
האם בדקת זאת בכלל? איש אינו יכול לשחזר את הנושא הזה כאן »
בזמן כתיבת שורות אלה, VideoLan נראה זועם מאוד על מה שעשו CVE ו- Mitre. ראשון הם מתלוננים שהם לא היו איתם בקשר במשך שנים ועכשיו הם מפרסמים את הפסיקה הזו בלי לומר להם כלום. ואז הם אומרים את זה לא תקלה ב- VLC, אך מספריית צד שלישי הקשורה לקבצי MKV, שתוקנה במשך חודשים:
על "נושא האבטחה" ב- #VLC : VLC אינו פגיע.
tl; dr: הנושא נמצא בספריה של צד שלישי, הנקראת libebml, שתוקנה לפני יותר מ -3 חודשים.
VLC מאז גרסת 3.0.3 יש את הגרסה הנכונה נשלחה, ו @MITREcorp אפילו לא בדק את תביעתם.פְּתִיל:
- VideoLAN (@videolan) 24 ביולי 2019
"אודות 'פגם האבטחה' ב- # VLC": VLC אינו פגיע. tl; dr: הבאג נמצא בספריה של צד שלישי, הנקראת libebml, שתוקנה לפני יותר מ -16 חודשים. VLC מספקת את הגרסה הנכונה מאז 3.0.3, ומיטר אפילו לא בדקה מה הוא פרסם »
באג קשה מאוד לניצול
לחברה שמפתחת את אחד השחקנים הפופולריים ביותר על פני כדור הארץ יש גם תלונה נוספת: איך זה אפשרי תקלה שאי אפשר לנצל השיגה 9.8 מתוך 10 בסולם המסוכנות? הם גם אומרים שבמקרה הגרוע ביותר אי אפשר לגנוב נתונים מהמחשב או לבצע קוד מרחוק, והחמור ביותר הוא שגורם "קריסה" במערכת ההפעלה.
VideoLan כבר בשימוש תיקון זה פותר א כישלון שהם אומרים שהוא כבר לא קיים על הנגן שלך. הם מבטיחים שהוא תוקן מאז VLC v3.0.3, אך רק לפני מספר דקות הם סימנו את התיקון כ"סגור ". האמת היא ש 3.0.3 אכן מופיע כגרסה המושפעת. כאילו זה לא מספיק, NIST השתנתה כְּנִיסָה על הפגיעות הזו שאומרת ש- «פגיעות זו שונתה מאז נותחה לאחרונה על ידי NVD. אתה מחכה לניתוח חדש שעשוי להוביל לשינויים חדשים במידע שנמסר", מה שאומר ש הניתוחים הראשונים אינם נכונים.
יש האומרים שזה מסוכן במיוחד להשתמש ב- VLC, אפילו הומלץ להסיר אותו, אחרים אומרים שצריך לבדוק מה מתפרסם ושהבאג לא קיים, אחרים לשנות את המאמרים המקוריים שלהם ... הדבר הבטוח היחיד זה שאני לא מסיר את ה- VLC.
