Prieš kelias valandas a saugumo trūkumas VLC kuri pavojingumo skalėje pažymėta 9.8 balo iš 10. „Kritinį trūkumą“ aptiko CERT-Bund ir paskelbė WinFuture (vokiečių kalba), kur jie aprašo pažeidžiamumą, leidžiantį nuotoliniu būdu vykdyti kodą, kuris gali leisti nuotoliniam kenkėjiškam vartotojui įdiegti, modifikuoti arba vykdyti kodą mums to nesuvokiant ar net pasiekti sistemos failus. Ją taip pat išplatino Mitre.
Paveiktos versijos bus „Linux“, „Windows“ ir „Unix“, o „MacOS“ yra saugi, visa tai teigia „WinFuture“ ir kiti šaltiniai, kurie platino šią informaciją. Gerai tai, kad niekas nepasinaudojo pažeidžiamumu, dėl kurio kartu su „VideoLan“ versija mums kyla abejonių, ar visa tai tikra, ar netikras pavojus. Tačiau tiesa ta, kad „VideoLan“ versija arba trečiosios šalies versija, kuri teigė, kad sukūrė 60% pataisą, kelia mums daugiau abejonių dėl to, kas vyksta.
Ne VLC klaida
Ar net tai patikrinote?
Niekas negali čia atgaminti šio klausimo.- „VideoLAN“ (@videolan) Liepa 23, 2019
Ar net tai patikrinote? Niekas negali čia pakartoti šio klausimo »
Rašymo metu „VideoLan“ atrodo labai pasipiktinęs tuo, ką padarė CVE ir „Miter“. Pirmas jie skundžiasi kad metų metus iš viso su jais nebendrauja ir dabar nieko nesakę paskelbia šį nutarimą. Tada jie taip sako ne VLC gedimas, bet iš trečiosios šalies bibliotekos, susijusios su MKV failais ir kuri buvo taisoma kelis mėnesius:
Apie „saugumo problemą“ #VLC : VLC nėra pažeidžiamas.
tl;dr: problema yra trečiosios šalies bibliotekoje, vadinamoje libebml, kuri buvo ištaisyta daugiau nei prieš 3 mėnesių.
Nuo 3.0.3 versijos yra išsiųsta teisinga versija, ir @MITREcorp net nepatikrino jų reikalavimo.Tema:
- „VideoLAN“ (@videolan) Liepa 24, 2019
„Apie „saugos trūkumą“ #VLC“: VLC nėra pažeidžiamas. tl;dr: klaida yra trečiosios šalies bibliotekoje, vadinamoje libebml, kuri buvo ištaisyta daugiau nei prieš 16 mėnesių. VLC pateikia teisingą versiją nuo 3.0.3, o Mitras net nepatikrino, ką paskelbė »
Labai sunkiai išnaudojama klaida
Kompanija, kurianti vieną populiariausių žaidėjų planetoje, turi ir dar vieną priekaištą: kaip tai įmanoma nesklandumas, kurio negalima išnaudoti pavojaus skalėje pasiekė 9.8 balo iš 10? Jie taip pat teigia, kad blogiausiu atveju neįmanoma pavogti duomenų iš kompiuterio ar vykdyti kodo nuotoliniu būdu, o rimčiausia yra operacinės sistemos „sugesta“.
„VideoLan“ jau naudojamas pleistras kad išsprendžia a Nesugebėjimas pasakyti, kad jo nebėra savo grotuve. Jie teigia, kad jis buvo ištaisytas nuo VLC v3.0.3, tačiau tik prieš kelias minutes pažymėjo šį pataisą kaip „uždarą“. Tiesa ta, kad 3.0.3 jame pasirodo kaip paveikta versija. Tarsi to būtų negana, NIST pakeitė įrašas apie šį pažeidžiamumą sakydamas, kad «Šis pažeidžiamumas buvo pakeistas, nes paskutinį kartą jį analizavo NVD. Jūsų laukia nauja analizė, dėl kurios gali pasikeisti pateikta informacija", tai reiškia kad pirmosios analizės nėra teisingos.
Vieni sako, kad naudoti VLC yra super pavojinga, net buvo rekomenduota jį pašalinti, kiti sako, kad reikia patikrinti, kas paskelbta ir kad klaida neegzistuoja, treti modifikuoja savo originalius straipsnius... Vienintelis dalykas, Esu tikras, kad aš nepašalinu VLC.
