Disa orë më parë a e metë e sigurisë në VLC e cila shënohet me një 9.8 nga 10 në shkallën e rrezikut. "Dështimi kritik" është zbuluar nga CERT-Bund dhe botuar nga Winfuture (në gjermanisht), ku ata përshkruajnë një dobësi që lejon ekzekutimin e kodit në distancë, i cili mund të lejojë një përdorues me qëllim të keq të instalojë, modifikojë ose ekzekutojë kodin pa vërejtur ose madje aksesuar skedarët në sistemin tonë. Hasshtë përhapur gjithashtu nga kësulë.
Versionet e prekura do të ishin ato të Linux, Windows dhe Unix, me macOS të jenë të sigurt, të gjitha sipas WinFuture dhe burimeve të tjera që kanë shpërndarë këtë informacion. Lajmi i mirë është se askush nuk e ka shfrytëzuar dobësinë, e cila, së bashku me versionin VideoLan, na lënë të pyesim nëse e gjithë kjo është e vërtetë apo një alarm i rremë. Por e vërteta është se versioni VideoLan, ose një palë e tretë që tha se kishin krijuar një copë toke prej 60%, na lë më shumë dyshime për atë që po ndodh.
Nuk është një defekt në VLC
A e keni kontrolluar edhe këtë?
Askush nuk mund ta riprodhojë këtë çështje këtu.- VideoLAN (@videolan) Korrik 23, 2019
E keni kontrolluar edhe këtë? Askush nuk mund ta riprodhojë këtë çështje këtu »
Në kohën e këtij shkrimi, VideoLan duket shumë i indinjuar për atë që kanë bërë CVE dhe Mitre. Së pari ata ankohen se ata nuk kanë qenë në kontakt me ta për vite me radhë dhe tani ata e publikojnë këtë vendim pa u thënë atyre asgjë. Pastaj ata e thonë këtë jo një anomali VLC, por nga një bibliotekë e palës së tretë në lidhje me skedarët MKV, e cila është korrigjuar për muaj:
Në lidhje me "çështjen e sigurisë" në #VLC : VLC nuk është e prekshme.
tl; dr: çështja është në një bibliotekë të palës së tretë, të quajtur libebml, e cila ishte rregulluar më shumë se 3 muaj më parë.
VLC që nga versioni 3.0.3 ka dërguar versionin e saktë, dhe @MITREcorp as nuk e kontrolluan pretendimin e tyre.thread:
- VideoLAN (@videolan) Korrik 24, 2019
"Për" të metën e sigurisë "në #VLC": VLC nuk është e prekshme. tl; dr: defekt është në një bibliotekë të palëve të treta, të quajtur libebml, e cila u rregullua më shumë se 16 muaj më parë. VLC sjell versionin e saktë që nga 3.0.3, dhe Mitre as nuk kontrolloi se çfarë ka botuar »
Një defekt shumë i vështirë për t’u shfrytëzuar
Kompania që zhvillon një nga lojtarët më të njohur në planet gjithashtu ka një ankesë tjetër: si është e mundur që një anomali që nuk mund të shfrytëzohet ka arritur një 9.8 nga 10 në shkallën e rrezikshmërisë? Ata gjithashtu thonë se, në skenarin më të keq, është e pamundur të vidhni të dhëna nga kompjuteri ose të ekzekutoni kodin në distancë, më seriozja duke shkaktuar një "përplasje" në sistemin operativ.
VideoLan e përdorur tashmë një copë toke që zgjidh një dështim që ata thonë se nuk ekziston më në lojtarin tuaj. Ata sigurojnë se është korrigjuar që nga VLC v3.0.3, por vetëm pak minuta më parë ata e shënuan atë patch si "të mbyllur". E vërteta është se 3.0.3 paraqitet si version i prekur. Sikur të mos mjaftonte, NIST ka modifikuar hyrja në lidhje me këtë dobësi duke thënë se «Kjo dobësi është modifikuar që kur u analizua për herë të fundit nga NVD. Ju jeni duke pritur për një analizë të re që mund të çojë në ndryshime të reja në informacionin e dhënë", që do të thotë se analizat e para nuk janë të sakta.
Disa thonë se është super e rrezikshme të përdorësh VLC, madje është rekomanduar ta çinstalosh atë, të tjerët thonë se duhet të kontrolloni se çfarë është botuar dhe se defekti nuk ekziston, të tjerët modifikojnë artikujt e tyre origjinalë ... E vetmja gjë e sigurt eshte se une nuk uninstaloj VLC.
