Pred nekaj urami a varnostna napaka v VLC ki je na lestvici nevarnosti označena z 9.8 od 10. "Kritično napako" je odkril CERT-Bund in objavil WinFuture (v nemščini), kjer opisujejo ranljivost, ki omogoča oddaljeno izvajanje kode, ki lahko oddaljenemu zlonamernemu uporabniku omogoči namestitev, spreminjanje ali izvajanje kode, ne da bi mi opazili ali celo dostopali do datotek v našem sistemu. Razširil ga je tudi Mitre.
Prizadete različice bi bile Linux, Windows in Unix, macOS je varen, vse v skladu z WinFuture in ostalimi viri, ki so te informacije širili. Dobra novica je, da nihče ni izkoristil ranljivosti, zaradi česar se skupaj z različico VideoLan sprašujemo, ali je vse to resnično ali lažni alarm. Toda resnica je, da nam različica VideoLan ali različica tretje osebe, ki je dejala, da so ustvarili 60-odstotni popravek, pušča več dvomov o tem, kaj se dogaja.
Ni napaka VLC
Ste to sploh preverili?
Tukaj tega vprašanja ne more reproducirati nihče.- VideoLAN (@videolan) Julij 23, 2019
Ste to sploh preverili? Te številke tukaj ne more reproducirati nihče »
V času pisanja tega članka se zdi VideoLan zelo ogorčen nad tem, kar sta storila CVE in Mitre. Najprej se pritožujejo da z njimi že leta sploh niso v stiku in zdaj to odločbo objavijo, ne da bi jim kaj povedali. Potem to rečejo ne napaka VLC, ampak iz neodvisne knjižnice, povezane z datotekami MKV, ki je bila popravljena mesece:
O "varnostnem vprašanju" na #VLC : VLC ni ranljiv.
tl; dr: težava je v zunanji knjižnici, imenovani libebml, ki je bila popravljena pred več kot 3 meseci.
VLC od različice 3.0.3 ima pravilno različico in @MITREcorp njihovega zahtevka niti ni preveril.Tema:
- VideoLAN (@videolan) Julij 24, 2019
"O" varnostni napaki "v #VLC": VLC ni ranljiv. tl; dr: napaka je v neodvisni knjižnici, imenovani libebml, ki je bila odpravljena pred več kot 16 meseci. VLC ponuja pravilno različico od 3.0.3, Mitre pa niti ni preveril, kaj je objavil »
Zelo težko izkoristiti napako
Podjetje, ki razvija enega najbolj priljubljenih igralcev na planetu, ima še eno pritožbo: kako je to mogoče napaka, ki je ni mogoče izkoristiti je dosegel 9.8 od 10 na lestvici nevarnosti? Pravijo tudi, da je v najslabšem primeru nemogoče ukrasti podatke iz računalnika ali zagnati kodo na daljavo, najresneje pa je povzročiti "zrušitev" operacijskega sistema.
VideoLan že uporabljen obliž ki rešuje a Če ne bi rekli, da ne obstaja več na vašem predvajalniku. Zagotavljajo, da je popravljen od VLC v3.0.3, vendar so pred nekaj minutami označili ta obliž kot "zaprt". Resnica je, da je 3.0.3 videti kot prizadeta različica. Kot da to ne bi zadostovalo, se je NIST spremenil vstop o tej ranljivosti rekoč, da «Ta ranljivost je bila spremenjena, odkar jo je NVD nazadnje analizirala. Čakate na novo analizo, ki bi lahko privedla do novih sprememb v posredovanih informacijah", kar pomeni, da prve analize niso pravilne.
Nekateri pravijo, da je uporaba VLC-ja zelo nevarno, celo priporočeno je, da ga odstranite, drugi pa, da morate preveriti, kaj je objavljeno in da napaka ne obstaja, drugi spremenijo svoje prvotne članke ... Edina zanesljiva stvar je, da ne odstranim VLC.
