Een paar uur geleden a beveiligingsfout in VLC die is gemarkeerd met een 9.8 uit 10 op de gevaarsschaal. De "kritieke storing" is ontdekt door CERT-Bund en gepubliceerd door Winfuture (in het Duits), waar ze een kwetsbaarheid beschrijven die het uitvoeren van externe code mogelijk maakt, waardoor een kwaadwillende gebruiker op afstand code kan installeren, wijzigen of uitvoeren zonder dat wij dit opmerken of zelfs maar toegang hebben tot bestanden op ons systeem. Het is ook verspreid door mijter.
De getroffen versies zijn die van Linux, Windows en Unix, waarbij macOS veilig is, allemaal volgens WinFuture en de rest van de bronnen die deze informatie hebben verspreid. Het goede nieuws is dat niemand misbruik heeft gemaakt van de kwetsbaarheid, waardoor we ons, samen met de VideoLan-versie, afvragen of dit allemaal echt is of een vals alarm Maar de waarheid is dat de VideoLan-versie, of een versie van een derde partij die zei dat ze een patch van 60% hadden gemaakt, ons meer twijfels laat over wat er gebeurt.
Geen VLC-bug
Heb je dit wel eens gecontroleerd?
Niemand kan dit probleem hier reproduceren.- VideoLAN (@videolan) 23 juli 2019
Heb je dit zelfs gecontroleerd? Niemand kan dit probleem hier reproduceren »
Op het moment van schrijven lijkt VideoLan erg verontwaardigd over wat CVE en Mitre hebben gedaan. Eerste zij klagen dat ze al jaren helemaal geen contact met hen hebben gehad en nu publiceren ze deze uitspraak zonder hen iets te vertellen. Dan zeggen ze dat geen VLC-storing, maar uit een bibliotheek van derden met betrekking tot MKV-bestanden, die al maanden is gecorrigeerd:
Over het "beveiligingsprobleem" op #VLC : VLC is niet kwetsbaar.
tl; dr: het probleem zit in een bibliotheek van derden, genaamd libebml, die meer dan 3 maanden geleden is opgelost.
VLC sinds versie 3.0.3 is de juiste versie verzonden, en @MITREcorp hebben hun claim niet eens gecontroleerd.Draad:
- VideoLAN (@videolan) 24 juli 2019
"Over de 'beveiligingsfout' in #VLC": VLC is niet kwetsbaar. tl; dr: de bug bevindt zich in een bibliotheek van derden, libebml genaamd, die meer dan 16 maanden geleden is opgelost. VLC levert de juiste versie sinds 3.0.3, en Mitre heeft niet eens gecontroleerd wat hij heeft gepubliceerd »
Een erg moeilijke bug om te misbruiken
Het bedrijf dat een van de meest populaire spelers ter wereld ontwikkelt, heeft ook nog een andere klacht: hoe is dat mogelijk een storing die niet kan worden misbruikt heeft een 9.8 van de 10 behaald op de gevaarlijkheidsschaal? Ze zeggen ook dat het in het ergste geval onmogelijk is om gegevens van de computer te stelen of op afstand code uit te voeren, met als ernstigste een "crash" in het besturingssysteem.
VideoLan is al in gebruik een pleister dat lost een Als ze niet zeggen dat het niet meer bestaat op uw speler Ze verzekeren dat het gecorrigeerd is sinds VLC v3.0.3, maar slechts een paar minuten geleden markeerden ze die patch als "gesloten". De waarheid is dat 3.0.3 wordt weergegeven als de getroffen versie. Alsof dat nog niet genoeg is, heeft NIST gewijzigd binnenkomst over deze kwetsbaarheid door te zeggen dat «Deze kwetsbaarheid is gewijzigd sinds deze voor het laatst werd geanalyseerd door NVD. U wacht op een nieuwe analyse die kan leiden tot nieuwe wijzigingen in de verstrekte informatie", wat betekent dat de eerste analyses kloppen niet.
Sommigen zeggen dat het super gevaarlijk is om VLC te gebruiken, het is zelfs aanbevolen om het te verwijderen, anderen zeggen dat je moet controleren wat er is gepubliceerd en dat de bug niet bestaat, anderen passen hun originele artikelen aan ... is dat ik VLC niet verwijder.
