Forvirring omkring en for nylig afsløret sårbarhed i VLC Media Player

Rapporter begyndte at dukke op på Internettet om en kritisk sikkerhedssårbarhed i den populære multimediaspiller VLC Media Player.

Opdatering : VideoLAN bekræftede, at problemet ikke var et sikkerhedsproblem i VLC Media Player. Ingeniørerne opdagede, at problemet var forårsaget af en ældre version af tredjepartsbiblioteket kaldet libebml, der var inkluderet i ældre versioner af Ubuntu. Forskeren brugte tilsyneladende den ældre version af Ubuntu. Ende

Gizmodos Sam Rutherford foreslog, at brugere straks afinstallerede VLC, og at tenoren for andre tech-magasiner og -sider var stort set identisk. Sensationalistiske overskrifter og historier genererer masser af sidevisninger og klik, og det er sandsynligvis den vigtigste grund til, at websteder kan lide at gøre brug af dem i stedet for at fokusere på overskrifter og artikler, der ikke er så sensationalist.

Fejlrapporten, der er indleveret under CVE-2019-13615, vurderer problemet som kritisk og anfører, at det påvirker VLC Media Player 3.0.7.1 og tidligere versioner af medieafspilleren.

Alle desktopversioner af VLC Media Player, der er tilgængelige til Windows, Linux og Mac OS X, er berørt af problemet i henhold til beskrivelsen. En hacker kan udføre kode eksternt på berørte enheder, hvis sårbarheden udnyttes med succes i henhold til fejlrapporten.

Beskrivelsen af ​​problemet er teknisk, men den giver værdifuld information om sårbarheden alligevel:

VideoLAN VLC medieafspiller 3.0.7.1 har en heap-baseret buffer, der er overlæst i mkv :: demux_sys_t :: FreeUnused () i moduler / demux / mkv / demux.cpp, når der kaldes fra mkv :: Åbn i moduler / demux / mkv / mkv.cpp.

Sårbarheden kan kun udnyttes, hvis brugerne åbner specifikt forberedte filer ved hjælp af VLC Media Player. En prøvemediefil, der bruger mp4-formatet, er knyttet til bugsporlisten, som ser ud til at bekræfte dette.

VLC-ingeniører har annonceproblemer med at gengive det problem, der blev indgivet på det officielle bugsporingssite for fire uger siden.

Projektleder Jean-Baptiste Kempf skrev i går, at han ikke kunne gengive fejlen, da den overhovedet ikke styrtede VLC. Andre, fx Rafael Rivera, kunne heller ikke gengive problemet på flere VLC Media Player-bygninger.

VideoLAN gik til Twitter for at skamme de rapporterende organisationer MITER og CVE.

Hej @MITREcorp og @CVEnew, det faktum, at du ALDRIG nogensinde kontakter os for VLC-sårbarheder i årevis før publicering er virkelig ikke cool; men i det mindste kunne du tjekke dine oplysninger eller kontrollere dig selv, før du sender 9.8 CVSS-sårbarhed offentligt ...

Åh, btw, dette er ikke en VLC-sårbarhed ...

Organisationerne informerede ikke VideoLAN om sårbarheden i avanceret i henhold til VideoLANs indlæg på Twitter.

Hvad VLC Media Player-brugere kan gøre

De problemer, som ingeniører og forskere har til at gentage problemet, gør det ret til den forundrende affære for brugere af medieafspilleren. Er VLC Media Player sikkert at bruge i mellemtiden, fordi problemet ikke er så alvorligt som oprindeligt antydet eller slet ikke er en sårbarhed?

Det kan tage et stykke tid, før tingene bliver ordnet ud. Brugere kunne bruge en anden medieafspiller i mellemtiden eller stole på VideoLANs vurdering af problemet. Det er altid en god ide at være forsigtig, når det kommer til udførelse af filer på systemer, især når de kommer fra Internettet og derfra fra kilder, der ikke kan stoles på 100%.

Nu du : Hvad tager du for hele sagen? (via Deskmodder)