Confusione su una vulnerabilità rivelata di recente in VLC Media Player
- Categoria: Sicurezza
Cominciarono a emergere rapporti su Internet su una vulnerabilità di sicurezza critica nel popolare lettore multimediale VLC Media Player.
Aggiornare : VideoLAN confermato che il problema non era un problema di sicurezza in VLC Media Player. Gli ingegneri hanno rilevato che il problema era causato da una versione precedente della libreria di terze parti chiamata libebml inclusa nelle versioni precedenti di Ubuntu. Il ricercatore ha usato quella versione precedente di Ubuntu apparentemente. Fine
Sam Rutherford di Gizmodo suggerito che gli utenti disinstallassero immediatamente VLC e il tenore di altre riviste e siti tecnologici fosse per la maggior parte identico. Titoli e storie sensazionalisti generano molte visualizzazioni di pagina e clic, e questo è probabilmente il motivo principale per cui ai siti piace utilizzarli invece di concentrarsi su titoli e articoli che non sono così sensazionalisti.
La segnalazione di bug, archiviata sotto CVE-2.019-13.615 , valuta il problema come critico e afferma che interessa VLC Media Player 3.0.7.1 e le versioni precedenti del lettore multimediale.
Tutte le versioni desktop di VLC Media Player, disponibili per Windows, Linux e Mac OS X, sono interessate dal problema secondo la descrizione. Un utente malintenzionato potrebbe eseguire codice in remoto sui dispositivi interessati se la vulnerabilità viene sfruttata correttamente in base alla segnalazione di bug.
La descrizione del problema è tecnica, ma fornisce comunque informazioni preziose sulla vulnerabilità:
VideoLAN VLC media player 3.0.7.1 ha un buffer basato su heap sovrascritto in mkv :: demux_sys_t :: FreeUnused () in modules / demux / mkv / demux.cpp quando chiamato da mkv :: Apri in modules / demux / mkv / mkv.cpp.
La vulnerabilità può essere sfruttata solo se gli utenti aprono file appositamente preparati utilizzando VLC Media Player. Un file multimediale di esempio che utilizza il formato mp4 è allegato all'elenco delle tracce dei bug che sembra confermarlo.
Gli ingegneri VLC hanno annuncio le difficoltà riproducendo il problema che è stato segnalato sul sito ufficiale di monitoraggio dei bug quattro settimane fa.
Il responsabile del progetto Jean-Baptiste Kempf ha dichiarato ieri di non poter riprodurre il bug in quanto non ha causato il crash di VLC. Altri, ad es. Rafael Rivera, non è stato in grado di riprodurre il problema anche su diverse build di VLC Media Player.
VideoLAN andato a Twitter per far vergognare le organizzazioni di segnalazione MITRE e CVE.
Ehi @MITREcorp e @CVEnew, il fatto che non ci contattiate MAI per le vulnerabilità di VLC per anni prima della pubblicazione non è davvero bello; ma almeno potresti controllare le tue informazioni o controllare te stesso prima di inviare pubblicamente la vulnerabilità 9.8 CVSS ...
Oh, a proposito, questa non è una vulnerabilità VLC ...
Le organizzazioni non hanno informato VideoLAN della vulnerabilità in fase avanzata secondo il post di VideoLAN su Twitter.
Cosa possono fare gli utenti di VLC Media Player
I problemi che ingegneri e ricercatori hanno per replicare il problema lo rendono piuttosto sconcertante per gli utenti del lettore multimediale. VLC Media Player è sicuro da usare nel frattempo perché il problema non è grave come inizialmente suggerito o non è affatto una vulnerabilità?
Potrebbe volerci un po 'prima che le cose vengano risolte. Nel frattempo, gli utenti potrebbero utilizzare un lettore multimediale diverso o fidarsi della valutazione del problema da parte di VideoLAN. È sempre una buona idea fare attenzione quando si tratta di eseguire file sui sistemi, soprattutto quando provengono da Internet e da fonti che non possono essere attendibili al 100%.
Ora tu : Qual è la tua opinione sull'intera questione? (attraverso Deskmodder )