VLC Media Playerで最近公開された脆弱性に関する混乱
人気のマルチメディアプレーヤーVLC Media Playerの重大なセキュリティの脆弱性についてのレポートがインターネット上に出現し始めました。
更新 :VideoLAN 確認した この問題はVLC Media Playerのセキュリティの問題ではないこと。エンジニアは、問題が古いバージョンのUbuntuに含まれていたlibebmlと呼ばれるサードパーティライブラリの古いバージョンが原因であることを検出しました。研究者は明らかにその古いバージョンのUbuntuを使用していました。 終わり
ギズモードのサムラザフォード 提案された ユーザーはVLCをすぐにアンインストールし、他の技術雑誌やサイトのテノールはほとんど同じでした。センセーショナルなヘッドラインとストーリーは多くのページビューとクリックを生み出します、そしてそれがサイトがセンセーショナルなものではないヘッドラインと記事に焦点を合わせるのではなくそれらを利用したい主な理由です。
バグ報告 CVE-2019-13615 は、問題を重大と評価し、VLC Media Player 3.0.7.1および以前のバージョンのメディアプレーヤーに影響を与えると述べています。
Windows、Linux、およびMac OS Xで利用可能なVLC Media Playerのすべてのデスクトップバージョンは、説明に従って問題の影響を受けます。バグレポートによると、脆弱性の悪用に成功した場合、攻撃者は影響を受けるデバイス上でリモートでコードを実行する可能性があります。
問題の説明は技術的なものですが、それでも脆弱性に関する貴重な情報を提供します。
VideoLAN VLCメディアプレーヤー3.0.7.1には、modules / demux / mkv /のmkv :: Openから呼び出されたときに、modules / demux / mkv / demux.cppのmkv :: demux_sys_t :: FreeUnused()にヒープベースのバッファーのオーバーリードがありますmkv.cpp。
この脆弱性は、ユーザーがVLCメディアプレーヤーを使用して特別に準備されたファイルを開いた場合にのみ利用できます。これを確認するために表示されるバグトラックリストに、mp4形式を使用するサンプルメディアファイルが添付されています。
VLCエンジニアには広告があります 困難 4週間前に公式のバグ追跡サイトに提出された問題を再現します。
プロジェクトリーダーのJean-Baptiste Kempfは、VLCをまったくクラッシュさせなかったため、バグを再現できなかったと昨日投稿しました。その他、例えばRafael Riveraさんは、いくつかのVLC Media Playerビルドでもこの問題を再現できませんでした。
VideoLAN 行った Twitterに報告組織のMITERとCVEを恥ずかしく思います。
@MITREcorpと@CVEnew、VLCの脆弱性について何年も前に私たちに連絡したことがないという事実は、公開する前に本当にクールではありません。しかし、少なくとも9.8 CVSSの脆弱性を公に送信する前に、情報を確認するか自分で確認することができます...
ああ、ところで、これはVLCの脆弱性ではありません...
VideoLANのTwitterへの投稿によると、組織はAdvancedの脆弱性についてVideoLANに通知していません。
VLC Media Playerユーザーができること
エンジニアや研究者が問題を再現しなければならない問題は、メディアプレーヤーのユーザーにとって非常に不可解なことです。問題が最初に提案されたほど深刻ではないか、脆弱性ではないため、VLC Media Playerは当面は安全に使用できますか?
物事が整理されるまでに時間がかかる場合があります。その間、ユーザーは別のメディアプレーヤーを使用するか、問題のVideoLANの評価を信頼することができます。システムでのファイルの実行に関しては、特にインターネットからのものであり、100%信頼できないソースからのものである場合は、常に注意することをお勧めします。
では、あなた :この問題全体についてどう思いますか? (経由 デスクモダー )