Плутанина щодо нещодавно виявленої вразливості у VLC Media Player

В Інтернеті почали з’являтися повідомлення про критичну вразливість безпеки в популярному мультимедійному плеєрі VLC Media Player.

Оновлення : VideoLAN підтвердив, що проблема не є проблемою безпеки в VLC Media Player. Інженери виявили, що цю проблему спричинила старіша версія сторонньої бібліотеки під назвою libebml, яка була включена до старих версій Ubuntu. Дослідник, мабуть, використовував цю старішу версію Ubuntu. Кінець

Сем Резерфорд від Gizmodo запропонував користувачам видалити VLC негайно, а термін використання інших журналів і сайтів з технологій здебільшого був однаковим. Заголовки та сюжети сенсаціоналістів породжують безліч переглядів сторінок і кліків, і це, мабуть, головна причина, чому сайти люблять використовувати їх замість того, щоб зосереджуватись на заголовках та статтях, які не є настільки сенсаційними.

Звіт про помилку, поданий під CVE-2019-13615, оцінює проблему як критичну та заявляє, що вона впливає на VLC Media Player 3.0.7.1 та попередні версії медіаплеєра.

Відповідно до опису, проблема стосується всіх версій VLC Media Player, доступних для Windows, Linux та Mac OS X. Зловмисник може виконувати код віддалено на уражених пристроях, якщо вразливість буде успішно використана відповідно до звіту про помилку.

Опис випуску є технічним, але він надає цінну інформацію про вразливість:

VideoLAN VLC media player 3.0.7.1 має перезачитаний буфер на основі купи в mkv :: demux_sys_t :: FreeUnused () в модулях / demux / mkv / demux.cpp при виклику з mkv :: Відкрити в модулях / demux / mkv / mkv.cpp.

Уразливість може бути використана лише у тому випадку, якщо користувачі відкривають спеціально підготовлені файли за допомогою VLC Media Player. Зразок медіа-файлу, який використовує формат mp4, додається до списку треків помилок, який, як видається, підтверджує це.

Інженери VLC мають труднощі з відтворенням проблеми, яка була подана на офіційному сайті відстеження помилок чотири тижні тому.

Керівник проекту Жан-Батист Кемпф вчора заявив, що не може відтворити помилку, оскільки він зовсім не вийшов з ладу VLC. Інші, наприклад, Рафаель Рівера, також не змогли відтворити проблему на кількох версіях VLC Media Player.

VideoLAN пішов у Twitter, щоб посоромити звітні організації MITER та CVE.

Привіт @MITREcorp та @CVEnew, той факт, що ви НІКОЛИ ніколи не зв'язуйтесь з нами щодо вразливості VLC протягом років перед публікацією, насправді не круто; але принаймні ви можете перевірити свою інформацію або перевірити себе, перш ніж надсилати публічно 9.8 вразливість CVSS ...

О, btw, це не вразливість VLC ...

Організації не повідомили VideoLAN про вразливість у передових випадках відповідно до публікації VideoLAN у Twitter.

Що можуть робити користувачі VLC Media Player

Проблеми, з якими інженери та дослідники повинні повторити цю проблему, роблять це досить неприємною справою для користувачів медіаплеєра. Чи безпечний VLC Media Player тим часом для використання, оскільки проблема не така гостра, як запропоновано спочатку, чи не є вразливістю взагалі?

Може пройти деякий час, перш ніж речі розберуться. Користувачі можуть тим часом використовувати інший медіаплеєр або довіряти оцінці проблеми VideoLAN. Завжди корисно бути обережним, коли справа стосується виконання файлів у системах, особливо коли вони надходять з Інтернету та з джерел, яким не можна довіряти на 100%.

Тепер ви : Що ви ставитесь до всього питання? (через Deskmodder)