ไม่กี่ชั่วโมงที่ผ่านมาก ข้อบกพร่องด้านความปลอดภัยใน VLC ซึ่งมีเครื่องหมาย 9.8 จาก 10 ในระดับอันตราย CERT-Bund ค้นพบ "ความล้มเหลวขั้นวิกฤต" และเผยแพร่โดย WinFuture (ในภาษาเยอรมัน) ซึ่งอธิบายถึงช่องโหว่ที่อนุญาตให้มีการเรียกใช้โค้ดจากระยะไกลซึ่งอาจทำให้ผู้ใช้ที่เป็นอันตรายจากระยะไกลสามารถติดตั้งแก้ไขหรือเรียกใช้โค้ดโดยที่เราไม่สังเกตเห็นหรือแม้แต่เข้าถึงไฟล์ในระบบของเรา นอกจากนี้ยังได้รับการแพร่กระจายโดย ตุ้มปี่.
เวอร์ชันที่ได้รับผลกระทบจะเป็นของ Linux, Windows และ Unix โดย macOS นั้นปลอดภัยทั้งหมดเป็นไปตาม WinFuture และแหล่งที่มาอื่น ๆ ที่เผยแพร่ข้อมูลนี้ ข่าวดีก็คือไม่มีใครใช้ประโยชน์จากช่องโหว่ซึ่งเมื่อรวมกับเวอร์ชัน VideoLan ทำให้เราสงสัยว่าทั้งหมดนี้เป็นของจริงหรือ สัญญาณเตือนที่ผิดพลาด. แต่ความจริงก็คือเวอร์ชัน VideoLan หรือเวอร์ชันของบุคคลที่สามที่กล่าวว่าพวกเขาสร้างแพตช์ 60% ทำให้เราสงสัยมากขึ้นเกี่ยวกับสิ่งที่เกิดขึ้น
ไม่ใช่บั๊ก VLC
คุณได้ตรวจสอบสิ่งนี้หรือไม่?
ไม่มีใครสามารถทำซ้ำปัญหานี้ได้ที่นี่- VideoLAN (@videolan) กรกฎาคม 23, 2019
คุณได้ตรวจสอบสิ่งนี้แล้วหรือยัง? ไม่มีใครสามารถทำให้เกิดปัญหานี้ซ้ำได้ที่นี่»
ในขณะที่เขียนเรื่องนี้ VideoLan ดูเหมือนจะไม่พอใจอย่างมากกับสิ่งที่ CVE และ Mitre ได้ทำ อันดับแรก พวกเขาบ่น พวกเขาไม่ได้ติดต่อกับพวกเขาเลยมาหลายปีแล้วและตอนนี้พวกเขาเผยแพร่คำวินิจฉัยนี้โดยไม่บอกอะไรเลย แล้วพวกเขาก็พูดอย่างนั้น ไม่ใช่ความผิดพลาดของ VLCแต่จากไลบรารีของบุคคลที่สามที่เกี่ยวข้องกับไฟล์ MKV ซึ่งได้รับการแก้ไขเป็นเวลาหลายเดือน:
เกี่ยวกับ "ปัญหาด้านความปลอดภัย" บน #VLC : VLC ไม่มีช่องโหว่
tl; dr: ปัญหาอยู่ในไลบรารีของบุคคลที่สามที่เรียกว่า libebml ซึ่งได้รับการแก้ไขเมื่อ 3 เดือนที่แล้ว
VLC ตั้งแต่เวอร์ชัน 3.0.3 มีการจัดส่งเวอร์ชันที่ถูกต้องและ @MITREคอร์ป ไม่ได้ตรวจสอบการอ้างสิทธิ์ของพวกเขาด้วยซ้ำด้าย:
- VideoLAN (@videolan) กรกฎาคม 24, 2019
"เกี่ยวกับ" ข้อบกพร่องด้านความปลอดภัย "ใน #VLC": VLC ไม่มีช่องโหว่ tl; dr: ข้อบกพร่องอยู่ในไลบรารีของบุคคลที่สามที่เรียกว่า libebml ซึ่งได้รับการแก้ไขเมื่อ 16 เดือนที่แล้ว VLC มอบเวอร์ชันที่ถูกต้องตั้งแต่ 3.0.3 และ Mitre ไม่ได้ตรวจสอบสิ่งที่เขาเผยแพร่»
ข้อผิดพลาดที่ยากมากในการใช้ประโยชน์
บริษัท ที่สร้างหนึ่งในผู้เล่นที่ได้รับความนิยมมากที่สุดในโลกก็มีเรื่องร้องเรียนอีกเช่นกันว่าเป็นไปได้อย่างไร ความผิดพลาดที่ไม่สามารถใช้ประโยชน์ได้ ได้รับ 9.8 จาก 10 ในระดับความเป็นอันตราย? พวกเขายังกล่าวอีกว่าในกรณีที่เลวร้ายที่สุดมันเป็นไปไม่ได้ที่จะขโมยข้อมูลจากคอมพิวเตอร์หรือเรียกใช้โค้ดจากระยะไกลสิ่งที่ร้ายแรงที่สุดคือทำให้ระบบปฏิบัติการ "ขัดข้อง"
VideoLan ใช้แล้ว แพทช์ ที่แก้ก ความล้มเหลวที่พวกเขาบอกว่าไม่มีแล้ว บนเครื่องเล่นของคุณ. พวกเขารับรองว่าได้รับการแก้ไขตั้งแต่ VLC v3.0.3 แต่เพียงไม่กี่นาทีที่ผ่านมาพวกเขาทำเครื่องหมายว่า "ปิด" ความจริงก็คือ 3.0.3 จะปรากฏเป็นเวอร์ชันที่ได้รับผลกระทบ ราวกับว่ายังไม่เพียงพอ NIST ได้แก้ไข รายการ เกี่ยวกับช่องโหว่นี้โดยกล่าวว่า«ช่องโหว่นี้ได้รับการแก้ไขแล้วเนื่องจาก NVD ได้รับการวิเคราะห์ครั้งล่าสุด คุณกำลังรอการวิเคราะห์ใหม่ที่อาจนำไปสู่การเปลี่ยนแปลงใหม่ในข้อมูลที่ให้มา"ซึ่งหมายความว่า การวิเคราะห์ครั้งแรกไม่ถูกต้อง.
บางคนบอกว่าการใช้ VLC เป็นอันตรายอย่างยิ่ง แต่ก็ยังแนะนำให้ถอนการติดตั้งบางคนบอกว่าคุณต้องตรวจสอบสิ่งที่เผยแพร่และไม่มีจุดบกพร่องคนอื่นแก้ไขบทความต้นฉบับของตน ... สิ่งเดียวที่แน่นอน คือฉันไม่ได้ถอนการติดตั้ง VLC
