Ilang oras na ang nakakalipas a kahinaan sa seguridad sa VLC na minarkahan ng isang 9.8 sa 10 sa scale ng panganib. Ang "kritikal na kabiguan" ay natuklasan ng CERT-Bund at inilathala ng WinFuture (sa Aleman), kung saan inilalarawan nila ang isang kahinaan na nagpapahintulot sa pagpapatupad ng remote code, na maaaring payagan ang isang malayuang nakakahamak na gumagamit na mag-install, magbago o magpatupad ng code nang hindi namin napapansin o kahit na mag-access ng mga file sa aming system. Nagkalat din ito ng Miter.
Ang mga apektadong bersyon ay ang mga ng Linux, Windows at Unix, na ang macOS ay ligtas, lahat ayon sa WinFuture at ang natitirang mga mapagkukunan na nagpakalat ng impormasyong ito. Ang magandang balita ay walang sinuman ang nagsamantala sa kahinaan, kung saan, kasama ang bersyon ng VideoLan, ay iniiwan sa amin na nagtataka kung ang lahat ng ito ay totoo o isang Maling akala. Ngunit ang totoo ay ang bersyon ng VideoLan, o isang third party na nagsabing lumikha sila ng isang 60% na patch, ay nag-iiwan sa amin ng higit na pagdududa tungkol sa kung ano ang nangyayari.
Hindi isang bug ng VLC
Sinuri mo ba ito?
Walang sinuman ang maaaring magparami ng isyung ito dito.- VideoLAN (@videolan) Hulyo 23, 2019
Nasuri mo pa ba ito? Walang sinuman ang maaaring kopyahin ang isyung ito dito »
Sa oras ng pagsulat na ito, ang VideoLan ay tila galit na galit sa nagawa ng CVE at Miter. Una reklamo nila na ilang taon na silang hindi nakikipag-ugnay sa kanila at ngayon ay inilathala nila ang hatol na ito nang hindi sinasabi sa kanila ang anuman. Tapos sinabi nila yun hindi isang VLC glitch, ngunit mula sa isang third-party na library na nauugnay sa mga file ng MKV, na naitama sa loob ng maraming buwan:
Tungkol sa "isyu sa seguridad" sa #VLC : Ang VLC ay hindi mahina.
tl; dr: ang isyu ay nasa isang library ng ika-3 partido, na tinatawag na libebml, na naayos nang higit sa 16 buwan na ang nakakaraan.
Ang VLC dahil ang bersyon 3.0.3 ay may tamang bersyon na naipadala, at @MITREcorp ni hindi suriin ang kanilang habol.thread:
- VideoLAN (@videolan) Hulyo 24, 2019
"Tungkol sa 'kapintasan sa seguridad' sa #VLC": Ang VLC ay hindi madaling maapektuhan. tl; dr: ang bug ay nasa isang third-party na library, na tinatawag na libebml, na naayos nang higit sa 16 buwan na ang nakakaraan. Naghahatid ang VLC ng tamang bersyon mula noong 3.0.3, at hindi rin sinuri ni Miter kung ano ang nai-publish niya »
Isang napakahirap na bug upang samantalahin
Ang kumpanya na bumuo ng isa sa pinakatanyag na mga manlalaro sa planeta ay mayroon ding isa pang reklamo: paano ito posible isang glitch na hindi maaaring samantalahin nakakamit ang isang 9.8 sa 10 sa scale ng pagiging mapanganib? Sinabi din nila na, sa pinakapangit na sitwasyon, imposibleng magnakaw ng data mula sa computer o magpatupad ng code nang malayuan, ang pinakaseryosong nagdudulot ng isang "pag-crash" sa operating system.
Nagamit na ang VideoLan isang patch nalulutas nito a kabiguan na sinabi nilang wala na sa iyong manlalaro. Tinitiyak nila na naitama ito mula noong VLC v3.0.3, ngunit ilang minuto lamang ang nakakaraan minarkahan nila ang patch na iyon bilang "sarado". Ang totoo ay ang 3.0.3 ay lilitaw bilang apektadong bersyon. Tulad ng kung hindi ito sapat, nagbago ang NIST pagpasok tungkol sa kahinaan na ito na sinasabi na «Ang kahinaan na ito ay nabago mula nang huli itong pinag-aralan ng NVD. Naghihintay ka para sa isang bagong pagtatasa na maaaring humantong sa mga bagong pagbabago sa ibinigay na impormasyon", na nangangahulugang iyon ang mga unang pagsusuri ay hindi tama.
Sinasabi ng ilan na napakapanganib na gamitin ang VLC, inirerekumenda kahit na i-uninstall ito, sinasabi ng iba na kailangan mong suriin kung ano ang nai-publish at wala ang bug, ang iba ay nagbabago ng kanilang mga orihinal na artikulo ... Ang tanging natitiyak na bagay ay na hindi ko i-uninstall ang VLC.
