Преди няколко часа a недостатък на сигурността във VLC което е отбелязано с 9.8 от 10 по скалата на опасността. "Критичният провал" е открит от CERT-Bund и публикуван от WinFuture (на немски), където те описват уязвимост, която позволява дистанционно изпълнение на код, което може да позволи на отдалечен злонамерен потребител да инсталира, модифицира или изпълни код, без ние да забележим или дори да осъществим достъп до файлове в нашата система. Той също е разпространен от митра.
Засегнатите версии ще бъдат тези на Linux, Windows и Unix, като macOS е безопасен, всичко според WinFuture и останалите източници, които разпространяват тази информация. Добрата новина е, че никой не е използвал уязвимостта, което заедно с версията VideoLan ни кара да се чудим дали всичко това е реално или фалшива аларма. Но истината е, че версията VideoLan или версия на трета страна, която казва, че са създали 60% кръпка, ни оставя повече съмнения относно случващото се.
Не е VLC грешка
Проверихте ли изобщо това?
Тук никой не може да възпроизведе този проблем.- VideoLAN (@videolan) Юли 23, 2019
Проверили ли сте изобщо това? Тук никой не може да възпроизведе този проблем »
По време на това писане VideoLan изглежда много възмутен от това, което CVE и Mitre са направили. Първо те се оплакват че те изобщо не са били в контакт с тях от години и сега публикуват това решение, без да им казват нищо. Тогава те казват това не VLC бъг, но от библиотека на трета страна, свързана с MKV файлове, която е коригирана в продължение на месеци:
Относно "проблема със сигурността" на #VLC : VLC не е уязвим.
tl; dr: проблемът е в библиотека на трета страна, наречена libebml, която беше коригирана преди повече от 3 месеца.
VLC, тъй като версия 3.0.3 има правилната версия, и @MITREcorp дори не провери искането си.Тема:
- VideoLAN (@videolan) Юли 24, 2019
„Относно„ недостатъка на сигурността “в #VLC“: VLC не е уязвим. tl; dr: грешката е в библиотека на трета страна, наречена libebml, която е била отстранена преди повече от 16 месеца. VLC предоставя правилната версия от 3.0.3, а Митре дори не е проверил какво е публикувал »
Много трудна грешка за експлоатация
Компанията, която разработва един от най-популярните играчи на планетата, има и друго оплакване: как е възможно това бъг, който не може да се използва е постигнал 9.8 от 10 по скалата за опасност? Те също така казват, че в най-лошия случай е невъзможно да се откраднат данни от компютъра или да се изпълни код от разстояние, като най-сериозният е причиняването на "срив" в операционната система.
VideoLan вече е използван пластир това решава a Ако не кажат, че вече не съществува на вашия плейър. Те уверяват, че тя е коригирана от VLC v3.0.3, но само преди няколко минути те отбелязаха този пластир като „затворен“. Истината е, че 3.0.3 се появява като засегнатата версия. Сякаш това не беше достатъчно, NIST се промени влизане за тази уязвимост, казвайки, че «Тази уязвимост е модифицирана от последния й анализ на NVD. Очаквате нов анализ, който може да доведе до нови промени в предоставената информация", което означава, че първите анализи не са правилни.
Някои казват, че е супер опасно да използвате VLC, дори е препоръчано да го деинсталирате, други казват, че трябва да проверите какво е публикувано и че грешката не съществува, други модифицират оригиналните си статии ... Единственото сигурно нещо е, че не деинсталирам VLC.
