ສອງສາມຊົ່ວໂມງທີ່ຜ່ານມາກ ຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພໃນ VLC ເຊິ່ງຖືກ ໝາຍ ດ້ວຍ 9.8 ໃນ 10 ຂອງລະດັບອັນຕະລາຍ. "ຄວາມລົ້ມເຫຼວທີ່ ສຳ ຄັນ" ໄດ້ຖືກຄົ້ນພົບໂດຍ CERT-Bund ແລະຈັດພີມມາໂດຍ WinFuture (ໃນພາສາເຢຍລະມັນ), ບ່ອນທີ່ພວກເຂົາອະທິບາຍເຖິງຈຸດອ່ອນທີ່ອະນຸຍາດໃຫ້ມີການປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກ, ເຊິ່ງສາມາດອະນຸຍາດໃຫ້ຜູ້ໃຊ້ທີ່ເປັນອັນຕະລາຍຫ່າງໄກສອກຫຼີກຕິດຕັ້ງ, ປັບປຸງຫຼືປະຕິບັດລະຫັດໂດຍບໍ່ຕ້ອງແຈ້ງໃຫ້ພວກເຮົາຫຼືແມ້ກະທັ້ງເຂົ້າເຖິງໄຟລ໌ໃນລະບົບຂອງພວກເຮົາ. ມັນກໍ່ໄດ້ຖືກເຜີຍແຜ່ໂດຍ Miter.
ຮຸ່ນທີ່ໄດ້ຮັບຜົນກະທົບຈະເປັນຂອງ Linux, Windows ແລະ Unix, ເຊິ່ງ macOS ມີຄວາມປອດໄພ, ທັງ ໝົດ ອີງຕາມ WinFuture ແລະແຫຼ່ງທີ່ເຫຼືອທີ່ໄດ້ເຜີຍແຜ່ຂໍ້ມູນນີ້. ຂ່າວດີກໍ່ຄືວ່າບໍ່ມີໃຜໃຊ້ຄວາມອ່ອນແອ, ເຊິ່ງຮ່ວມກັບ VideoLan version, ເຮັດໃຫ້ພວກເຮົາສົງໄສວ່າສິ່ງທັງ ໝົດ ນີ້ແມ່ນແທ້ຫຼືບໍ່ ສັນຍານເຕືອນໄພປອມ. ແຕ່ຄວາມຈິງກໍ່ຄືວ່າ VideoLan ຮຸ່ນ, ຫລືພາກສ່ວນທີສາມທີ່ກ່າວວ່າພວກເຂົາໄດ້ສ້າງເພີ້ມຂື້ນ 60%, ເຮັດໃຫ້ພວກເຮົາມີຂໍ້ສົງໄສຫຼາຍຂື້ນກ່ຽວກັບສິ່ງທີ່ ກຳ ລັງເກີດຂື້ນ.
ບໍ່ແມ່ນ VLC
ທ່ານຍັງໄດ້ກວດກາເບິ່ງສິ່ງນີ້ບໍ?
ບໍ່ມີໃຜສາມາດແຜ່ພັນບັນຫານີ້ໄດ້ຢູ່ທີ່ນີ້.- ວີດີໂອ LAN (@videolan) ເດືອນກໍລະກົດ 23, 2019
ທ່ານໄດ້ກວດກາເບິ່ງສິ່ງນີ້ບໍ? ບໍ່ມີໃຜສາມາດແຜ່ພັນບັນຫານີ້ໄດ້ທີ່ນີ້»
ໃນເວລາຂອງການຂຽນນີ້, VideoLan ເບິ່ງຄືວ່າມີຄວາມໂກດແຄ້ນຫຼາຍຕໍ່ສິ່ງທີ່ CVE ແລະ Miter ໄດ້ເຮັດ. ກ່ອນອື່ນ ໝົດ ພວກເຂົາຈົ່ມ ວ່າພວກເຂົາບໍ່ໄດ້ຕິດຕໍ່ກັບພວກເຂົາມາເປັນເວລາຫລາຍປີແລ້ວແລະດຽວນີ້ພວກເຂົາເຜີຍແຜ່ກົດລະບຽບນີ້ໂດຍບໍ່ໄດ້ບອກຫຍັງເລີຍ. ຈາກນັ້ນພວກເຂົາເວົ້າວ່າ ບໍ່ແມ່ນຄວາມລະອຽດ VLC, ແຕ່ຈາກຫ້ອງສະຫມຸດຂອງພາກສ່ວນທີສາມທີ່ກ່ຽວຂ້ອງກັບໄຟລ໌ MKV, ເຊິ່ງໄດ້ຖືກແກ້ໄຂເປັນເວລາຫລາຍເດືອນ:
ກ່ຽວກັບ "ບັນຫາຄວາມປອດໄພ" ກ່ຽວກັບ #VLC : VLC ບໍ່ມີຄວາມສ່ຽງ.
tl; dr: ບັນຫາແມ່ນຢູ່ໃນຫ້ອງສະ ໝຸດ ຂອງບຸກຄົນທີ 3, ເຊິ່ງເອີ້ນວ່າ libebml, ເຊິ່ງໄດ້ຖືກແກ້ໄຂຫຼາຍກ່ວາ 16 ເດືອນທີ່ຜ່ານມາ.
VLC ນັບຕັ້ງແຕ່ຮຸ່ນ 3.0.3 ມີລຸ້ນທີ່ຖືກຕ້ອງຖືກສົ່ງມາ, ແລະ @MITREcorp ເຖິງແມ່ນວ່າບໍ່ໄດ້ກວດສອບການຮ້ອງຂໍຂອງເຂົາເຈົ້າ.ກະທູ້:
- ວີດີໂອ LAN (@videolan) ເດືອນກໍລະກົດ 24, 2019
"ກ່ຽວກັບຂໍ້ບົກພ່ອງດ້ານຄວາມປອດໄພໃນ #VLC": VLC ບໍ່ມີຄວາມສ່ຽງ. tl; dr: ຂໍ້ບົກພ່ອງແມ່ນຢູ່ໃນຫ້ອງສະ ໝຸດ ຂອງບຸກຄົນທີສາມ, ເຊິ່ງເອີ້ນວ່າ libebml, ເຊິ່ງໄດ້ຖືກແກ້ໄຂຫຼາຍກ່ວາ 16 ເດືອນທີ່ແລ້ວ. VLC ແຈກຢາຍເວີຊັ່ນທີ່ຖືກຕ້ອງຕັ້ງແຕ່ 3.0.3, ແລະ Miter ຍັງບໍ່ໄດ້ກວດກາເບິ່ງສິ່ງທີ່ລາວໄດ້ເຜີຍແຜ່»
ຂໍ້ບົກພ່ອງທີ່ຫຍຸ້ງຍາກຫຼາຍໃນການຂູດຮີດ
ບໍລິສັດທີ່ພັດທະນາ ໜຶ່ງ ໃນບັນດາຜູ້ທີ່ໄດ້ຮັບຄວາມນິຍົມທີ່ສຸດໃນໂລກກໍ່ມີ ຄຳ ຮ້ອງທຸກອີກຢ່າງ ໜຶ່ງ: ມັນເປັນໄປໄດ້ແນວໃດ ບັນຫາທີ່ບໍ່ສາມາດຖືກຂູດຮີດ ໄດ້ບັນລຸ 9.8 ໃນ 10 ໃນລະດັບອັນຕະລາຍບໍ? ພວກເຂົາຍັງກ່າວອີກວ່າ, ໃນສະຖານະການທີ່ຮ້າຍແຮງທີ່ສຸດ, ມັນບໍ່ສາມາດລັກຂໍ້ມູນຈາກຄອມພິວເຕີ້ຫຼືປະຕິບັດລະຫັດຈາກໄລຍະໄກໄດ້, ສິ່ງທີ່ຮ້າຍແຮງທີ່ສຸດແມ່ນການກໍ່ໃຫ້ເກີດ“ ອຸປະຕິເຫດ” ໃນລະບົບປະຕິບັດການ.
VideoLan ໃຊ້ແລ້ວ ເພີ້ມ ທີ່ແກ້ໄຂກ ຄວາມລົ້ມເຫຼວທີ່ພວກເຂົາເວົ້າວ່າມັນບໍ່ມີອີກແລ້ວ ກ່ຽວກັບຜູ້ນຂອງທ່ານ. ພວກເຂົາຮັບປະກັນວ່າມັນຖືກແກ້ໄຂຕັ້ງແຕ່ VLC v3.0.3, ແຕ່ວ່າພຽງແຕ່ສອງສາມນາທີກ່ອນ ໜ້າ ນີ້ພວກເຂົາໄດ້ ໝາຍ ວ່າ patch ນັ້ນຖືກ "ປິດ". ຄວາມຈິງກໍ່ຄືວ່າ 3.0.3 ປະກົດວ່າເປັນລຸ້ນທີ່ຖືກກະທົບ. ຄືກັບວ່າມັນບໍ່ພຽງພໍ, NIST ໄດ້ດັດແກ້ ເຂົ້າ ກ່ຽວກັບຄວາມສ່ຽງນີ້ເວົ້າວ່າ«ຄວາມອ່ອນແອນີ້ໄດ້ຖືກປັບປ່ຽນຕັ້ງແຕ່ມັນຖືກວິເຄາະຄັ້ງສຸດທ້າຍໂດຍ NVD. ທ່ານ ກຳ ລັງລໍຖ້າການວິເຄາະ ໃໝ່ ທີ່ອາດຈະເຮັດໃຫ້ມີການປ່ຽນແປງ ໃໝ່ ໃນຂໍ້ມູນທີ່ສະ ໜອງ ໃຫ້", ເຊິ່ງ ໝາຍ ຄວາມວ່າ ການວິເຄາະຄັ້ງ ທຳ ອິດແມ່ນບໍ່ຖືກຕ້ອງ.
ບາງຄົນເວົ້າວ່າມັນເປັນອັນຕະລາຍທີ່ສຸດໃນການໃຊ້ VLC, ມັນຍັງໄດ້ຖືກແນະ ນຳ ໃຫ້ຖອນການຕິດຕັ້ງ, ຄົນອື່ນເວົ້າວ່າທ່ານຕ້ອງກວດເບິ່ງສິ່ງທີ່ຖືກເຜີຍແຜ່ແລະຂໍ້ບົກພ່ອງບໍ່ມີ, ຄົນອື່ນດັດແກ້ບົດຂຽນຕົ້ນສະບັບ ... ສິ່ງທີ່ແນ່ນອນ ແມ່ນວ່າຂ້ອຍບໍ່ຖອນການຕິດຕັ້ງ VLC.
ເປັນຄົນທໍາອິດທີ່ຈະໃຫ້ຄໍາເຫັນ