Pirms dažām stundām a drošības trūkums VLC kas bīstamības skalā ir atzīmēts ar 9.8 no 10. "Kritisko neveiksmi" ir atklājis CERT-Bund un publicējis WinFuture (vācu valodā), kur tie apraksta ievainojamību, kas ļauj veikt attālu koda izpildi, kas varētu ļaut attālam ļaunprātīgam lietotājam instalēt, modificēt vai izpildīt kodu, mums nepamanot vai pat nepiekļūstot failiem mūsu sistēmā. To izplatījis arī Mitre.
Ietekmētās versijas būtu Linux, Windows un Unix versijas, un MacOS būtu drošībā, visi saskaņā ar WinFuture un pārējiem avotiem, kas ir izplatījuši šo informāciju. Labā ziņa ir tā, ka neviens nav izmantojis ievainojamību, kas kopā ar VideoLan versiju liek mums domāt, vai tas viss ir reāls vai viltus trauksme. Bet patiesība ir tāda, ka VideoLan versija vai trešā puse, kas teica, ka ir izveidojusi 60% plāksteri, mums liek vairāk šaubīties par notiekošo.
Nav VLC kļūda
Vai jūs to pat pārbaudījāt?
Neviens šeit nevar atkārtot šo jautājumu.- VideoLAN (@videolan) Jūlijs 23, 2019
Vai jūs to pat pārbaudījāt? Neviens šeit nevar reproducēt šo jautājumu »
Šīs rakstīšanas laikā VideoLan, šķiet, ir ļoti sašutis par CVE un Mitre paveikto. Pirmkārt viņi sūdzas ka viņi gadiem ilgi vispār ar viņiem nav sazinājušies un tagad viņi šo lēmumu publicē, neko viņiem nepasakot. Tad viņi to saka nav VLC kļūme, bet no trešās puses bibliotēkas, kas saistīta ar MKV failiem un kura mēnešiem ilgi ir labota:
Par "drošības jautājumu" #VLC : VLC nav neaizsargāts.
tl; dr: problēma atrodas trešās puses bibliotēkā ar nosaukumu libebml, kas tika novērsta vairāk nekā pirms 3 mēnešiem.
VLC, jo 3.0.3 versijai ir piegādāta pareizā versija, un @MITREcorp pat nepārbaudīja viņu prasību.Tēma:
- VideoLAN (@videolan) Jūlijs 24, 2019
"Par #VLC" drošības trūkumu ": VLC nav neaizsargāts. tl; dr: kļūda atrodas trešās puses bibliotēkā ar nosaukumu libebml, kas tika novērsta vairāk nekā pirms 16 mēnešiem. VLC nodrošina pareizo versiju kopš 3.0.3, un Mitre pat nepārbaudīja to, ko viņš ir publicējis »
Ļoti grūti izmantojama kļūda
Uzņēmumam, kas attīsta vienu no populārākajiem spēlētājiem uz planētas, ir arī cita sūdzība: kā tas ir iespējams kļūme, kuru nevar izmantot ir sasniedzis 9.8 no 10 bīstamības skalā? Viņi arī saka, ka sliktākajā gadījumā nav iespējams nozagt datus no datora vai izpildīt kodu attālināti, no kuriem visnopietnākais ir operētājsistēmas "avārija".
VideoLan jau ir izmantots plāksteris kas atrisina a neveiksme, ka viņi saka, ka tā vairs nepastāv uz jūsu atskaņotāja. Viņi apliecina, ka tas ir labots kopš VLC v3.0.3, taču tikai pirms dažām minūtēm viņi atzīmēja šo plāksteri kā "slēgtu". Patiesība ir tāda, ka 3.0.3 parādās kā ietekmētā versija. It kā ar to būtu par maz, NIST ir modificējis ieraksts par šo ievainojamību sakot, ka «Šī ievainojamība ir modificēta kopš NVD pēdējās analīzes. Jūs gaida jauna analīze, kas var izraisīt jaunas izmaiņas sniegtajā informācijā", kas nozīmē pirmās analīzes nav pareizas.
Daži saka, ka ir ļoti bīstami izmantot VLC, pat ir ieteicams to atinstalēt, citi saka, ka jums ir jāpārbauda, kas ir publicēts un ka kļūda nepastāv, citi pārveido savus oriģinālos rakstus ... Vienīgais drošais ir tas, ka es neatinstalēju VLC.
