Một vài giờ trước đây lỗ hổng bảo mật trong VLC được đánh dấu 9.8 trên 10 trong thang điểm nguy hiểm. "Lỗi nghiêm trọng" đã được phát hiện bởi CERT-Bund và xuất bản bởi WinFuture (bằng tiếng Đức), nơi họ mô tả một lỗ hổng cho phép thực thi mã từ xa, có thể cho phép người dùng độc hại từ xa cài đặt, sửa đổi hoặc thực thi mã mà chúng tôi không nhận thấy hoặc thậm chí truy cập vào các tệp trên hệ thống của chúng tôi. Nó cũng đã được lan truyền bởi Mitre.
Các phiên bản bị ảnh hưởng sẽ là của Linux, Windows và Unix, với macOS là an toàn, tất cả theo WinFuture và phần còn lại của các nguồn đã phổ biến thông tin này. Tin tốt là chưa có ai khai thác lỗ hổng này, cùng với phiên bản VideoLan, khiến chúng tôi tự hỏi liệu tất cả những điều này là thật hay một báo động giả. Nhưng sự thật là phiên bản VideoLan, hoặc phiên bản của bên thứ ba nói rằng họ đã tạo bản vá 60%, khiến chúng ta nghi ngờ nhiều hơn về những gì đang xảy ra.
Không phải lỗi VLC
Bạn thậm chí đã kiểm tra điều này?
Không ai có thể tái tạo vấn đề này ở đây.- VideoLAN (@videolan) 23 Tháng Bảy, 2019
Bạn thậm chí đã kiểm tra điều này? Không ai có thể tái tạo vấn đề này ở đây »
Tại thời điểm viết bài này, VideoLan có vẻ rất phẫn nộ với những gì CVE và Mitre đã làm. Đầu tiên họ phàn nàn rằng họ đã không liên lạc với họ trong nhiều năm và bây giờ họ công bố phán quyết này mà không nói với họ bất cứ điều gì. Sau đó, họ nói rằng không phải là trục trặc VLC, nhưng từ thư viện của bên thứ ba liên quan đến tệp MKV, đã được sửa chữa trong nhiều tháng:
Về "vấn đề bảo mật" trên #VLC : VLC không dễ bị tấn công.
tl; dr: sự cố nằm trong thư viện của bên thứ 3, được gọi là libebml, đã được khắc phục hơn 16 tháng trước.
VLC kể từ phiên bản 3.0.3 có phiên bản chính xác được vận chuyển và @MITREcorp thậm chí không kiểm tra yêu cầu của họ.chủ đề:
- VideoLAN (@videolan) 24 Tháng Bảy, 2019
"Giới thiệu về 'lỗ hổng bảo mật' trong #VLC": VLC không dễ bị tấn công. tl; dr: lỗi nằm trong thư viện của bên thứ ba, được gọi là libebml, đã được sửa hơn 16 tháng trước. VLC cung cấp phiên bản chính xác kể từ 3.0.3 và Mitre thậm chí không kiểm tra những gì anh ấy đã xuất bản »
Một lỗi rất khó khai thác
Công ty phát triển một trong những người chơi nổi tiếng nhất hành tinh cũng có một lời phàn nàn khác: làm thế nào mà có thể một trục trặc không thể khai thác được đã đạt được 9.8 trên 10 trong thang đo mức độ nguy hiểm? Họ cũng nói rằng, trong trường hợp xấu nhất, không thể lấy cắp dữ liệu từ máy tính hoặc thực thi mã từ xa, nghiêm trọng nhất là gây ra hiện tượng "crash" trong hệ điều hành.
VideoLan đã được sử dụng một bản vá điều đó giải quyết một thất bại mà họ nói rằng nó không còn tồn tại trên máy nghe nhạc của bạn. Họ đảm bảo rằng nó đã được sửa chữa kể từ VLC v3.0.3, nhưng chỉ vài phút trước họ đã đánh dấu bản vá đó là "đã đóng". Sự thật là 3.0.3 xuất hiện dưới dạng phiên bản bị ảnh hưởng. Như thể vẫn chưa đủ, NIST đã sửa đổi nhập cảnh về lỗ hổng bảo mật này nói rằng «Lỗ hổng này đã được sửa đổi kể từ khi nó được NVD phân tích lần cuối. Bạn đang chờ một phân tích mới có thể dẫn đến những thay đổi mới trong thông tin được cung cấp", có nghĩa là những phân tích đầu tiên không đúng.
Một số người nói rằng việc sử dụng VLC là siêu nguy hiểm, thậm chí người ta còn khuyến nghị gỡ cài đặt nó, những người khác nói rằng bạn phải kiểm tra những gì đã được xuất bản và lỗi không tồn tại, những người khác sửa đổi các bài báo gốc của họ ... Điều chắc chắn duy nhất là tôi không gỡ cài đặt VLC.
