几个小时前 VLC中的安全漏洞 在危险等级上以9.8分(满分10分)标记。 “严重故障”由CERT-Bund发现,并由CERT-Bund发表 WinFuture (德语),其中描述了允许远程执行代码的漏洞,该漏洞可能允许远程恶意用户安装,修改或执行代码,而无需我们注意甚至访问系统上的文件。 它也被传播 米特.
受影响的版本将是Linux,Windows和Unix的版本,而macOS是安全的,所有这些都根据WinFuture和传播此信息的其他消息来源表示。 好消息是没有人利用此漏洞,该漏洞与VideoLan版本一起使我们想知道这一切是真实的还是一个漏洞。 虚惊。 但事实是,VideoLan版本或说他们已经创建了60%补丁的第三方使我们对正在发生的事情更加怀疑。
不是VLC错误
你有没有检查这个?
没有人可以在这里重现此问题。- VideoLAN(@videolan) 2019 年 7 月 23 日
你甚至检查过吗? 没有人可以在这里重现此问题»
在撰写本文时,VideoLan对CVE和Mitre所做的事情感到非常愤怒。 第一的 他们抱怨 他们已经有多年没有与他们联系了,现在他们发布了这项裁决,却没有告诉他们任何事情。 然后他们说 不是VLC故障,但来自与MKV文件相关的第三方库,该库已被纠正了几个月:
关于“安全问题” #VLC :VLC不容易受到攻击。
tl; dr:问题出在名为libebml的第3方库中,该库已于16个月前修复。
从3.0.3版开始的VLC附带了正确的版本,并且 @MITREcorp 甚至没有检查他们的要求。线:
- VideoLAN(@videolan) 2019 年 7 月 24 日
“关于#VLC中的'安全漏洞'”:VLC不容易受到攻击。 tl; dr:该错误存在于名为libebml的第三方库中,该库已在16个月前修复。 从3.0.3版本开始,VLC提供了正确的版本,Mitre甚至没有检查他发布的内容»
一个非常难以利用的错误
成为全球最受欢迎的公司之一的公司也有另一个抱怨:怎么可能 无法利用的故障 在危险等级上达到9.8的10分吗? 他们还说,在最坏的情况下,不可能从计算机上窃取数据或远程执行代码,最严重的是导致操作系统“崩溃”。
VideoLan已使用 一个补丁 解决了 他们说不再存在的失败 在您的播放器上。 他们保证自VLC v3.0.3起已纠正该问题,但仅在几分钟前,他们将该补丁标记为“已关闭”。 事实是3.0.3确实显示为受影响的版本。 好像还不够,NIST修改了 入口 关于此漏洞的说法是,«自从NVD上次分析此漏洞以来,已经对其进行了修改。 您正在等待可能导致所提供信息发生新变化的新分析“, 意思就是 最初的分析是不正确的.
有人说使用VLC非常危险,甚至建议卸载它,其他人则说您必须检查发布的内容,并且该错误不存在,其他人则修改其原始文章...唯一确定的事情是我不卸载VLC。