For noen timer siden a sikkerhetsfeil i VLC som er merket med en 9.8 av 10 på fareskalaen. Den "kritiske feilen" ble oppdaget av CERT-Bund og publisert av WinFuture (på tysk), der de beskriver et sikkerhetsproblem som tillater ekstern kjøring av kode, som kan tillate en ekstern ondsinnet bruker å installere, endre eller utføre kode uten at vi merker eller til og med får tilgang til filer på systemet vårt. Det har også blitt spredt av Mitre.
De berørte versjonene vil være de av Linux, Windows og Unix, med macOS som trygt, alt ifølge WinFuture og resten av kildene som har spredt denne informasjonen. Den gode nyheten er at ingen har utnyttet sårbarheten, som sammen med VideoLan-versjonen lar oss lure på om alt dette er ekte eller falsk alarm. Men sannheten er at VideoLan-versjonen, eller en tredjepartsversjon som sa at de hadde opprettet en 60% patch, gir oss mer tvil om hva som skjer.
Ikke en VLC-feil
Har du selv sjekket dette?
Ingen kan gjengi dette problemet her.- VideoLAN (@videolan) Juli 23, 2019
Har du til og med sjekket dette? Ingen kan gjengi dette problemet her »
I skrivende stund virker VideoLan veldig opprørt over hva CVE og Mitre har gjort. Først klager de at de ikke har vært i kontakt med dem i det hele tatt i årevis, og nå publiserer de denne kjennelsen uten å fortelle dem noe. Så sier de det ikke en VLC-feil, men fra et tredjepartsbibliotek relatert til MKV-filer, som har blitt korrigert i flere måneder:
Om "sikkerhetsspørsmålet" den #VLC : VLC er ikke sårbar.
tl; dr: problemet er i et tredjepartsbibliotek, kalt libebml, som ble løst for mer enn 3 måneder siden.
VLC siden versjon 3.0.3 har riktig versjon sendt, og @MITREcorp sjekket ikke engang påstanden deres.Tråd:
- VideoLAN (@videolan) Juli 24, 2019
"Om" sikkerhetsfeilen "i #VLC": VLC er ikke sårbar. tl; dr: feilen er i et tredjepartsbibliotek, kalt libebml, som ble løst for mer enn 16 måneder siden. VLC leverer riktig versjon siden 3.0.3, og Mitre sjekket ikke engang hva han har publisert »
En veldig vanskelig feil å utnytte
Selskapet som lager en av de mest populære aktørene på planeten har også en annen klage: hvordan er det mulig det en feil som ikke kan utnyttes har oppnådd 9.8 av 10 på farlighetsskalaen? De sier også at det i verste fall er umulig å stjele data fra datamaskinen eller utføre kode eksternt, det mest alvorlige forårsaker et "krasj" i operativsystemet.
VideoLan allerede brukt en lapp som løser en Manglende at de sier at det ikke lenger eksisterer på spilleren din. De forsikrer at den er korrigert siden VLC v3.0.3, men for bare noen få minutter siden merket de den oppdateringen som "lukket". Sannheten er at 3.0.3 vises som den berørte versjonen. Som om det ikke var nok, har NIST endret seg inngang om dette sårbarheten og sa at «Dette sikkerhetsproblemet er endret siden det sist ble analysert av NVD. Du venter på en ny analyse som kan føre til nye endringer i gitt informasjon", som betyr at de første analysene er ikke riktige.
Noen sier at det er superfarlig å bruke VLC, det har til og med blitt anbefalt å avinstallere det, andre sier at du må sjekke hva som er publisert og at feilen ikke eksisterer, andre endrer de originale artiklene ... Den eneste sikre tingen er at jeg ikke avinstallerer VLC.
