Förvirring om en nyligen avslöjad sårbarhet i VLC Media Player
- Kategori: Säkerhet
Rapporter började dyka upp på Internet om en kritisk säkerhetsproblem i den populära multimediaspelaren VLC Media Player.
Uppdatering : VideoLAN bekräftad att problemet inte var ett säkerhetsproblem i VLC Media Player. Ingenjörerna upptäckte att problemet orsakades av en äldre version av biblioteket från tredje part som heter libebml som ingick i äldre versioner av Ubuntu. Forskaren använde uppenbarligen den äldre versionen av Ubuntu. Slutet
Gizmodos Sam Rutherford föreslog att användare avinstallerar VLC omedelbart och tenoren för andra tekniska tidskrifter och webbplatser var identiskt för det mesta. Sensationalistiska rubriker och berättelser genererar massor av sidvisningar och klick, och det är troligtvis det främsta skälet till att webbplatser gillar att använda dem istället för att fokusera på rubriker och artiklar som inte är lika sensationella.
Felrapporten, arkiverad under CVE-2019-13.615 , bedömer problemet som kritiskt och säger att det påverkar VLC Media Player 3.0.7.1 och tidigare versioner av mediaspelaren.
Alla stationära versioner av VLC Media Player, tillgängliga för Windows, Linux och Mac OS X, påverkas av problemet enligt beskrivningen. En angripare kan utföra kod på distans på drabbade enheter om sårbarheten utnyttjas framgångsrikt enligt felrapporten.
Beskrivningen av problemet är teknisk, men den ger värdefull information om sårbarheten ändå:
VideoLAN VLC mediaspelare 3.0.7.1 har en högbaserad buffert som är överläst i mkv :: demux_sys_t :: FreeUnused () i moduler / demux / mkv / demux.cpp när den kallas från mkv :: Öppna i moduler / demux / mkv / mkv.cpp.
Sårbarheten kan bara utnyttjas om användare öppnar specifikt förberedda filer med VLC Media Player. En exempelmediefil som använder mp4-formatet är bifogad till bugtspårlistan som verkar bekräfta detta.
VLC-ingenjörer har annons svårigheter för att reproducera problemet som lämnades in på den officiella felsökningssidan för fyra veckor sedan.
Projektledare Jean-Baptiste Kempf meddelade igår att han inte kunde återge felet eftersom det inte kraschade VLC alls. Andra, t.ex. Rafael Rivera, kunde inte återge problemet på flera VLC Media Player-byggnader också.
VideoLAN åkte till Twitter för att skämma rapporteringsorganisationerna MITER och CVE.
Hej @MITREcorp och @ CVEnew, det faktum att du ALDRIG kontaktar oss för VLC-sårbarheter i flera år innan publiceringen är verkligen inte coolt; men åtminstone kan du kontrollera din information eller kontrollera dig själv innan du skickar 9.8 CVSS-sårbarhet offentligt ...
Åh, btw, detta är inte en VLC-sårbarhet ...
Organisationerna informerade inte VideoLAN om sårbarheten i avancerat enligt VideoLANs inlägg på Twitter.
Vad VLC Media Player-användare kan göra
Problemen som ingenjörer och forskare har för att replikera frågan gör det till den förbryllande affären för användare av mediaspelaren. Är VLC Media Player säkert att använda under tiden eftersom problemet inte är så allvarligt som ursprungligen antyds eller inte alls är en sårbarhet?
Det kan ta ett tag innan saker blir ordnade. Användare kan använda en annan mediaspelare under tiden eller lita på VideoLANs bedömning av problemet. Det är alltid en bra idé att vara försiktig när det gäller exekvering av filer på system, särskilt när de kommer från Internet och där från källor som inte kan lita på 100%.
Nu du : Vad tar du för hela frågan? (via Deskmodder )