Acum câteva ore a defect de securitate în VLC care este marcat cu un 9.8 din 10 pe scara pericolului. „Eșecul critic” a fost descoperit de CERT-Bund și publicat de WinFuture (în germană), unde descriu o vulnerabilitate care permite executarea codului de la distanță, care ar putea permite unui utilizator rău intenționat să instaleze, să modifice sau să execute codul fără ca noi să observăm sau chiar să accesăm fișiere de pe sistemul nostru. De asemenea, a fost răspândit de mitră.
Versiunile afectate ar fi cele de Linux, Windows și Unix, MacOS fiind în siguranță, totul în conformitate cu WinFuture și restul surselor care au diseminat aceste informații. Vestea bună este că nimeni nu a exploatat vulnerabilitatea, ceea ce, împreună cu versiunea VideoLan, ne lasă să ne întrebăm dacă toate acestea sunt reale sau alarma falsa. Dar adevărul este că versiunea VideoLan sau o terță parte care a spus că a creat un patch de 60%, ne lasă mai multe îndoieli cu privire la ceea ce se întâmplă.
Nu este un bug VLC
Ai verificat chiar asta?
Nimeni nu poate reproduce acest număr aici.- VideoLAN (@videolan) Iulie 23, 2019
Ai verificat chiar asta? Nimeni nu poate reproduce acest număr aici »
La momentul scrierii acestui articol, VideoLan pare foarte revoltat de ceea ce au făcut CVE și Mitre. Primul se plâng că nu au mai fost deloc în contact cu ei de ani de zile și acum publică această hotărâre fără să le spună nimic. Apoi spun asta nu o eroare VLC, dar dintr-o bibliotecă terță parte legată de fișierele MKV, care a fost corectată de luni de zile:
Despre „problema de securitate” activată #VLC : VLC nu este vulnerabil.
tl; dr: problema se află într-o bibliotecă terță parte, numită libebml, care a fost remediată cu mai mult de 3 luni în urmă.
VLC, deoarece versiunea 3.0.3 are versiunea corectă livrată și @MITREcorp nici nu le-a verificat revendicarea.Fir:
- VideoLAN (@videolan) Iulie 24, 2019
„Despre„ eroarea de securitate ”din #VLC”: VLC nu este vulnerabil. tl; dr: bug-ul se află într-o bibliotecă terță parte, numită libebml, care a fost remediată cu mai mult de 16 luni în urmă. VLC oferă versiunea corectă de la 3.0.3, iar Mitre nici măcar nu a verificat ce a publicat »
O eroare foarte dificil de exploatat
Compania care dezvoltă unul dintre cei mai populari jucători de pe planetă are, de asemenea, o altă plângere: cum este posibil o eroare care nu poate fi exploatată a atins un 9.8 din 10 pe scara pericolului? Ei spun, de asemenea, că, în cel mai rău caz, este imposibil să fure date de pe computer sau să execute cod de la distanță, dintre care cel mai rău este să provoace un „blocaj” în sistemul de operare.
VideoLan deja folosit un plasture care rezolvă a Eșecul în care spun că nu mai există pe playerul tău. Aceștia asigură că este corectat de la VLC v3.0.3, dar acum doar câteva minute au marcat acel patch ca „închis”. Adevărul este că 3.0.3 apare ca versiune afectată. De parcă nu ar fi fost suficient, NIST s-a modificat intrare despre această vulnerabilitate spunând că «Această vulnerabilitate a fost modificată de când a fost analizată ultima dată de NVD. Așteptați o nouă analiză care poate duce la noi modificări ale informațiilor furnizate", ceea ce înseamnă că primele analize nu sunt corecte.
Unii spun că este foarte periculos să folosești VLC, chiar s-a recomandat dezinstalarea acestuia, alții spun că trebuie să verifici ce este publicat și că bug-ul nu există, alții își modifică articolele originale ... Singurul lucru sigur este că nu dezinstalez VLC.