Beberapa jam yang lalu a kelemahan keselamatan dalam VLC yang ditandakan dengan 9.8 dari 10 pada skala bahaya. "Kegagalan kritikal" telah ditemui oleh CERT-Bund dan diterbitkan oleh WinFuture (dalam bahasa Jerman), di mana mereka menggambarkan kerentanan yang memungkinkan pelaksanaan kod jarak jauh, yang memungkinkan pengguna jahat yang jauh untuk memasang, mengubah atau melaksanakan kod tanpa kita perhatikan atau bahkan mengakses fail di sistem kita. Ia juga telah disebarkan oleh Mitre.
Versi yang terjejas adalah Linux, Windows dan Unix, dengan macOS yang selamat, semuanya menurut WinFuture dan sumber-sumber lain yang menyebarkan maklumat ini. Berita baiknya adalah bahawa tidak ada yang memanfaatkan kerentanan, yang, bersama dengan versi VideoLan, membuat kita bertanya-tanya apakah semua ini nyata atau penggera palsu. Tetapi kebenarannya adalah bahawa versi VideoLan, atau versi pihak ketiga yang mengatakan bahawa mereka telah membuat tambalan 60%, membuat kita lebih banyak keraguan tentang apa yang berlaku.
Bukan pepijat VLC
Adakah anda memeriksa ini?
Tidak ada yang dapat menghasilkan semula masalah ini di sini.- VideoLAN (@videolan) Julai 23, 2019
Adakah anda pernah memeriksa ini? Tidak ada yang dapat menghasilkan semula masalah ini di sini »
Pada masa penulisan ini, VideoLan nampaknya sangat marah dengan apa yang telah dilakukan oleh CVE dan Miter. Pertama mereka mengeluh bahawa mereka tidak pernah menghubungi mereka sama sekali selama bertahun-tahun dan sekarang mereka menerbitkan peraturan ini tanpa memberitahu apa-apa. Kemudian mereka mengatakan bahawa bukan gangguan VLC, tetapi dari perpustakaan pihak ketiga yang berkaitan dengan fail MKV, yang telah diperbaiki selama berbulan-bulan:
Mengenai "isu keselamatan" di #VLC : VLC tidak mudah terdedah.
tl; dr: masalahnya terdapat di perpustakaan pihak ketiga, yang disebut libebml, yang telah diperbaiki lebih dari 3 bulan yang lalu.
VLC sejak versi 3.0.3 mempunyai versi yang betul dihantar, dan @MITREcorp malah tidak menyemak tuntutan mereka.thread:
- VideoLAN (@videolan) Julai 24, 2019
"Mengenai 'kelemahan keselamatan' dalam #VLC": VLC tidak mudah terdedah. tl; dr: pepijat itu ada di perpustakaan pihak ketiga, yang disebut libebml, yang telah diperbaiki lebih dari 16 bulan yang lalu. VLC memberikan versi yang betul sejak 3.0.3, dan Miter bahkan tidak memeriksa apa yang diterbitkannya »
Bug yang sangat sukar untuk dieksploitasi
Syarikat yang mengembangkan salah satu pemain paling popular di planet ini juga mempunyai keluhan lain: bagaimana mungkin kesalahan yang tidak dapat dimanfaatkan telah mencapai 9.8 daripada 10 pada skala bahaya? Mereka juga mengatakan bahawa, dalam keadaan terburuk, mustahil untuk mencuri data dari komputer atau menjalankan kod dari jarak jauh, yang paling serius menyebabkan "kemalangan" dalam sistem operasi.
VideoLan sudah digunakan tampalan yang menyelesaikan a kegagalan yang mereka katakan tidak lagi wujud pada pemain anda. Mereka memastikan bahawa ia diperbetulkan sejak VLC v3.0.3, tetapi hanya beberapa minit yang lalu mereka menandakan tambalan itu sebagai "tertutup". Yang benar ialah 3.0.3 memang muncul sebagai versi yang terkena. Seolah-olah itu tidak mencukupi, NIST telah mengubah suai kemasukan mengenai kerentanan ini mengatakan bahawa «Kerentanan ini telah diubah sejak terakhir kali dianalisis oleh NVD. Anda sedang menunggu analisis baru yang boleh menyebabkan perubahan baru dalam maklumat yang diberikan", yang bermaksud analisis pertama tidak betul.
Ada yang mengatakan bahawa sangat berbahaya untuk menggunakan VLC, malah disyorkan untuk mencopot pemasangannya, yang lain mengatakan bahawa anda harus memeriksa apa yang diterbitkan dan bug itu tidak ada, yang lain mengubah artikel asalnya ... Satu-satunya perkara yang pasti adakah saya tidak menyahpasang VLC.
