Segadus hiljuti avalikustatud VLC Media Playeri haavatavuse osas
- Kategooria: Turvalisus
Internetis hakkasid ilmuma teated populaarse multimeediumipleieri VLC Media Player kriitilise turvaauke kohta.
Uuenda : VideoLAN kinnitas et see ei olnud VLC Media Playeri turvaprobleem. Insenerid tuvastasid, et probleemi põhjustas Ubuntu vanemates versioonides sisalduva kolmanda osapoole raamatukogu vanem versioon libebml. Ilmselt kasutas uurija seda Ubuntu vanemat versiooni. Lõpp
Gizmodo Sam Rutherford soovitas et kasutajad desinstallivad VLC kohe ja teiste tehnikaajakirjade ja -saitide sisu oli enamasti identne. Sensatsionistlikud pealkirjad ja lood tekitavad palju lehevaatamisi ja klikke ning see on tõenäoliselt peamine põhjus, miks saidid soovivad neid kasutada, selle asemel et keskenduda pealkirjadele ja artiklitele, mis pole nii sensatsioonilised.
Veateade, esitatud all CVE-2019-13615 , hindab probleemi kriitiliseks ja väidab, et see mõjutab VLC Media Player 3.0.7.1 ja meediumipleieri eelmisi versioone.
Kirjelduse kohaselt mõjutab probleem kõiki VLC Media Playeri töölauaversioone, mis on saadaval Windowsi, Linuxi ja Mac OS X jaoks. Ründaja võib koodi mõjutatud seadmetes eemalt käivitada, kui haavatavust kasutatakse veateate kohaselt edukalt ära.
Probleemi kirjeldus on tehniline, kuid sellegipoolest pakub see haavatavuse kohta väärtuslikku teavet:
VideoLAN VLC meediumipleieril 3.0.7.1 on kuhjapõhine puhver, mida on mkv-s üle vaadatud: demux_sys_t :: FreeUnused () moodulites / demux / mkv / demux.cpp, kui helistada mkv-st: Ava moodulites / demux / mkv / mkv.cpp.
Seda haavatavust saab kasutada ainult siis, kui kasutajad avavad spetsiaalselt ettevalmistatud failid VLC Media Playeri abil. Mp4-vormingus meediumifaili näidis on lisatud veapakkide loendisse, mis näib seda kinnitavat.
VLC inseneridel on kuulutus raskused reprodutseerides probleemi, mis neli nädalat tagasi ametlikule veajälgimise saidile esitati.
Projekti juht Jean-Baptiste Kempf postitas eile, et ei saanud viga reprodutseerida, kuna see ei hävitanud VLC-d üldse. Teised, nt. Rafael Rivera, ei saanud seda probleemi ka mitmetes VLC Media Playeri versioonides korrata.
VideoLAN läks Twitterisse, et häbistada aruandvaid organisatsioone MITER ja CVE.
Hei, @MITREcorp ja @CVEnew, see, et te kunagi ei avalda meiega kunagi enne avaldamist VLC haavatavuste poole pöördumist, pole tegelikult lahe; aga vähemalt võiksite enne 9.8 CVSS-i haavatavuse avalikku saatmist oma teavet kontrollida või ennast kontrollida ...
Oh, btw, see pole VLC haavatavus ...
VideoLAN-i Twitteris postituse kohaselt ei teavitanud organisatsioonid VideoLANi edasijõudnute haavatavusest.
Mida saavad VLC Media Playeri kasutajad teha?
Probleemid, millega insenerid ja teadlased peavad seda teemat kordama, muudavad selle meediumipleieri kasutajate jaoks üsna mõistatuslikuks. Kas VLC Media Playerit on vahepeal ohutu kasutada, kuna probleem pole nii tõsine, kui algselt soovitati, või pole see üldse haavatav?
Asjade lahendamiseks võib kuluda natuke aega. Kasutajad said vahepeal kasutada mõnda muud meediumipleierit või usaldada VideoLANi hinnangut probleemile. Süsteemides olevate failide täitmisel on alati hea olla ettevaatlik, eriti kui need pärinevad Internetist ja allikatest, mida ei saa sajaprotsendiliselt usaldada.
Nüüd sina : Mis on teie arvamus kogu selles küsimuses? (kaudu Deskmodder )