幾個小時前 VLC中的安全漏洞 在危險等級上以9.8分中的10分標出。 “嚴重故障”由CERT-Bund發現,並由CERT-Bund發表 WinFuture (德語),其中描述了允許遠程執行代碼的漏洞,該漏洞可能允許遠程惡意用戶安裝,修改或執行代碼,而無需我們注意甚至訪問系統上的文件。 它也被傳播 米特.
受影響的版本將是Linux,Windows和Unix的版本,而macOS是安全的,所有這些都根據WinFuture和傳播此信息的其他消息來源表示。 好消息是,沒有人利用此漏洞,該漏洞與VideoLan版本一起使我們懷疑這一切是真實的還是一個漏洞。 虛驚。 但事實是,VideoLan版本或說他們已經創建了60%補丁的第三方版本使我們對正在發生的事情有更多的懷疑。
不是VLC錯誤
你有沒有檢查這個?
沒有人可以在這裡重現此問題。-VideoLAN(@videolan) 2019 年 7 月 23 日
你甚至檢查過嗎? 沒有人可以在這裡重現此問題»
在撰寫本文時,VideoLan對CVE和Mitre所做的事情感到非常憤怒。 第一的 他們抱怨 他們已經有多年沒有與他們聯繫了,現在他們發布了這項裁決,卻沒有告訴他們任何事情。 然後他們說 不是VLC故障,但來自與MKV文件相關的第三方庫,該庫已被糾正了幾個月:
關於“安全問題” #VLC :VLC不容易受到攻擊。
tl; dr:問題出在一個名為libebml的第三方庫中,該庫已於3個月前修復。
從3.0.3版開始的VLC附帶了正確的版本,並且 @MITREcorp 甚至沒有檢查他們的要求。線:
-VideoLAN(@videolan) 2019 年 7 月 24 日
“關於#VLC中的'安全漏洞'”:VLC不容易受到攻擊。 tl; dr:該錯誤位於第三方庫libebml中,該庫已在16個月前修復。 從3.0.3版本開始,VLC提供了正確的版本,Mitre甚至沒有檢查他發布的內容»
一個非常難以利用的錯誤
開發地球上最受歡迎的玩家之一的公司也有另一個抱怨:怎麼可能 無法利用的故障 在危險等級上達到9.8的10分嗎? 他們還說,在最壞的情況下,不可能從計算機上竊取數據或遠程執行代碼,最嚴重的是導致操作系統“崩潰”。
VideoLan已使用 一個補丁 解決了 他們說不再存在的失敗 在您的播放器上。 他們保證自VLC v3.0.3起已糾正該問題,但僅在幾分鐘前,他們將該補丁標記為“已關閉”。 事實是3.0.3確實顯示為受影響的版本。 好像還不夠,NIST修改了 入口 關於此漏洞的說法是,«自從NVD上次分析此漏洞以來,已經對其進行了修改。 您正在等待可能會導致所提供信息發生新變化的新分析“, 意思就是 最初的分析是不正確的.
有人說使用VLC非常危險,甚至建議卸載它,其他人則說您必須檢查發布的內容,並且該錯誤不存在,其他人則修改其原始文章...唯一確定的事情是我不卸載VLC。