В Интернете стали появляться сообщения о критической уязвимости в популярном мультимедийном плеере VLC Media Player.
Обновление : VideoLAN подтвердил, что проблема не была проблемой безопасности в VLC Media Player. Инженеры обнаружили, что проблема была вызвана более старой версией сторонней библиотеки libebml, которая была включена в более старые версии Ubuntu. Исследователь использовал эту более старую версию Ubuntu. Конец
Сэм Резерфорд из Gizmodo предложил пользователям немедленно удалить VLC, и большинство других технических журналов и сайтов по большей части были идентичны. Заголовки и рассказы сенсационистов порождают множество просмотров страниц и кликов, и это, вероятно, главная причина, по которой сайты предпочитают использовать их вместо того, чтобы фокусироваться на заголовках и статьях, которые не так сенсационны.
Отчет об ошибке, поданный в соответствии с CVE-2019-13615, оценивает проблему как критическую и утверждает, что она затрагивает VLC Media Player 3.0.7.1 и предыдущие версии медиаплеера.
Все версии VLC Media Player для настольных компьютеров, доступные для Windows, Linux и Mac OS X, подвержены этой проблеме в соответствии с описанием. Злоумышленник может выполнить код удаленно на уязвимых устройствах, если уязвимость была успешно использована в соответствии с отчетом об ошибке.
Описание проблемы носит технический характер, но, тем не менее, содержит ценную информацию об уязвимости:
Медиаплеер VideoLAN VLC 3.0.7.1 имеет переполнение буфера на основе кучи в mkv :: demux_sys_t :: FreeUnused () в modules / demux / mkv / demux.cpp при вызове из mkv :: Открыть в modules / demux / mkv / mkv.cpp.
Уязвимость может быть использована только в том случае, если пользователи открывают специально подготовленные файлы с помощью VLC Media Player. Образец мультимедийного файла, который использует формат mp4, прикреплен к списку дорожек ошибок, который появляется, чтобы подтвердить это.
Инженеры VLC испытывают трудности с рекламой, воспроизводя проблему, которая была подана на официальном сайте отслеживания ошибок четыре недели назад.
Вчера руководитель проекта Жан-Батист Кемпф объявил, что не может воспроизвести ошибку, поскольку она вообще не приводит к сбою VLC. Другие, например, Рафаэль Ривера, также не могли воспроизвести проблему на нескольких сборках VLC Media Player.
VideoLAN отправился в Twitter, чтобы опозорить подотчетные организации MITER и CVE.
Привет @MITREcorp и @CVEnew, тот факт, что вы НИКОГДА не связывались с нами по поводу уязвимостей VLC в течение многих лет до публикации, на самом деле не крутой; но, по крайней мере, вы можете проверить свою информацию или проверить себя, прежде чем публично отправлять уязвимость CVSS 9.8 ...
О, кстати, это не уязвимость VLC ...
Организации не сообщили VideoLAN об уязвимости в продвинутой версии, согласно сообщению VideoLAN в Twitter.
Что могут делать пользователи VLC Media Player
Проблемы, с которыми сталкиваются инженеры и исследователи, чтобы воспроизвести проблему, делают ее весьма загадочным делом для пользователей медиаплеера. Безопасно ли в данный момент использовать VLC Media Player, поскольку проблема не так серьезна, как предполагалось изначально, или вообще не является уязвимостью?
Это может занять некоторое время, прежде чем все уладится. Тем временем пользователи могут использовать другой медиаплеер или доверять оценке проблемы VideoLAN. Всегда полезно быть осторожным, когда дело доходит до выполнения файлов в системах, особенно когда они поступают из Интернета и из источников, которым нельзя доверять на 100%.
Теперь вы : Как вы относитесь ко всей проблеме? (через Deskmodder)
