Kilka godzin temu a luka w zabezpieczeniach w VLC który jest oznaczony na skali niebezpieczeństwa 9.8 na 10. „Krytyczna awaria” została odkryta przez CERT-Bund i opublikowana przez WinFuture (w języku niemieckim), gdzie opisują lukę w zabezpieczeniach, która umożliwia zdalne wykonanie kodu, co może pozwolić zdalnemu szkodliwemu użytkownikowi na zainstalowanie, zmodyfikowanie lub wykonanie kodu bez zauważenia przez nas lub nawet uzyskania dostępu do plików w naszym systemie. Rozprzestrzenił się również przez Mitra.
Dotyczy to wersji Linuksa, Windowsa i Uniksa, z bezpiecznym systemem macOS, wszystko według WinFuture i pozostałych źródeł, które rozpowszechniły te informacje. Dobra wiadomość jest taka, że nikt nie wykorzystał luki, co wraz z wersją VideoLan pozostawia nas zdziwionymi, czy to wszystko jest prawdziwe, czy też fałszywy alarm. Ale prawda jest taka, że wersja VideoLan lub strona trzecia, która powiedziała, że stworzyła łatkę 60%, pozostawia nam więcej wątpliwości co do tego, co się dzieje.
To nie jest błąd VLC
Czy w ogóle to sprawdzałeś?
Nikt nie może tutaj odtworzyć tego problemu.- VideoLAN (@videolan) 23 lipca 2019 r.
Czy w ogóle to sprawdzałeś? Nikt nie może tutaj odtworzyć tego problemu »
W chwili pisania tego tekstu VideoLan wydaje się być bardzo oburzony tym, co zrobili CVE i Mitre. Pierwszy skarżą się że od lat w ogóle nie mieli z nimi kontaktu, a teraz publikują orzeczenie nic im nie mówiąc. Wtedy tak mówią nie usterka VLC, ale z biblioteki zewnętrznej związanej z plikami MKV, która była poprawiana od miesięcy:
O „kwestii bezpieczeństwa” na #VLC : VLC nie jest podatny na ataki.
tl; dr: problem znajduje się w bibliotece innej firmy o nazwie libebml, która została rozwiązana ponad 3 miesięcy temu.
VLC od wersji 3.0.3 ma dostarczoną poprawną wersję, a RE nawet nie sprawdzili swoich roszczeń.Wątek:
- VideoLAN (@videolan) 24 lipca 2019 r.
„O„ luce w zabezpieczeniach ”w #VLC”: VLC nie jest podatny na ataki. tl; dr: błąd znajduje się w bibliotece innej firmy o nazwie libebml, która została naprawiona ponad 16 miesięcy temu. VLC dostarcza poprawną wersję od 3.0.3, a Mitre nawet nie sprawdził, co opublikował »
Bardzo trudny do wykorzystania błąd
Firma, która rozwija jednego z najpopularniejszych graczy na świecie, ma też inny zarzut: jak to możliwe usterka, której nie można wykorzystać osiągnął 9.8 na 10 w skali zagrożenia? Mówią też, że w najgorszym przypadku niemożliwe jest wykradzenie danych z komputera lub zdalne wykonanie kodu, z których najpoważniejszym jest „awaria” systemu operacyjnego.
VideoLan już używany Łatka który rozwiązuje niepowodzenie, że mówią, że już nie istnieje na odtwarzaczu. Zapewniają, że zostało to poprawione od czasu VLC 3.0.3, ale zaledwie kilka minut temu oznaczyli tę poprawkę jako „zamkniętą”. Prawda jest taka, że 3.0.3 pojawia się jako wersja, której dotyczy problem. Jakby tego było mało, NIST się zmodyfikował wejście o tej luce, mówiąc, że «Ta luka została zmodyfikowana od czasu ostatniej analizy przez NVD. Czekasz na nową analizę, która może doprowadzić do nowych zmian w dostarczonych informacjach", co oznacza że pierwsze analizy są nieprawidłowe.
Jedni mówią, że używanie VLC jest bardzo niebezpieczne, zalecano nawet odinstalowanie go, inni mówią, że trzeba sprawdzić, co jest opublikowane i że błąd nie istnieje, jeszcze inni modyfikują swoje oryginalne artykuły ... Jedyna pewna rzecz jest to, że nie odinstalowuję VLC.