人気のあるマルチメディアプレーヤーVLC Media Playerの重大なセキュリティ脆弱性に関するレポートがインターネット上に現れ始めました。
更新 :VideoLANは、この問題がVLC Media Playerのセキュリティ問題ではないことを確認しました。 エンジニアは、問題の原因が古いバージョンのUbuntuに含まれていたlibebmlと呼ばれるサードパーティライブラリの古いバージョンにあることを検出しました。 研究者は、明らかにその古いバージョンのUbuntuを使用していました。 終わり
GizmodoのSam Rutherfordは、ユーザーがVLCをすぐにアンインストールし、他の技術雑誌やサイトのテナーはほとんどの部分で同一であることを提案しました。 センセーショナルなヘッドラインとストーリーは多くのページビューとクリックを生成します。それが、サイトがセンセーショナルなものではないヘッドラインと記事に焦点を当てるのではなく、それらを利用したい主な理由です。
CVE-2019-13615に基づいて提出されたバグレポートは、問題を重大と評価し、VLC Media Player 3.0.7.1および以前のバージョンのメディアプレーヤーに影響を与えると述べています。
Windows、Linux、およびMac OS Xで利用可能なVLC Media Playerのすべてのデスクトップバージョンは、説明によるとこの問題の影響を受けます。 バグレポートによると、脆弱性が悪用された場合、攻撃者は影響を受けるデバイスでリモートでコードを実行する可能性があります。
問題の説明は技術的なものですが、それでも脆弱性に関する貴重な情報を提供します。
VideoLAN VLCメディアプレーヤー3.0.7.1には、modules / demux / mkv /のmkv :: Openから呼び出された場合、modules / demux / mkv / demux.cppのmkv :: demux_sys_t :: FreeUnused()でヒープベースのバッファーが上書きされますmkv.cpp。
この脆弱性は、ユーザーがVLC Media Playerを使用して特別に準備されたファイルを開く場合にのみ悪用される可能性があります。 これを確認するために表示されるバグトラックリストには、mp4形式を使用するサンプルメディアファイルが添付されています。
VLCエンジニアは、4週間前に公式のバグ追跡サイトに提出された問題を再現するのに苦労しています。
昨日、プロジェクトリーダーのJean-Baptiste Kempfが、VLCをまったくクラッシュさせなかったため、バグを再現できないと投稿しました。 他の人、たとえばラファエルリベラは、いくつかのVLC Media Playerビルドでも問題を再現できませんでした。
VideoLANはTwitterに行き、報告組織MITERとCVEを恥じました。
ちょっと@MITREcorpと@CVEnew、公開前に何年もVLCの脆弱性について私たちに連絡したことがないという事実は、本当にクールではありません。 しかし、少なくとも9.8 CVSSの脆弱性を公開する前に、情報を確認するか、自分で確認することができます...
ああ、ところで、これはVLCの脆弱性ではありません...
VideoLANのTwitterの投稿によると、組織はVideoLANにadvancedの脆弱性について通知しませんでした。
VLC Media Playerユーザーができること
エンジニアと研究者が問題を再現しなければならない問題は、メディアプレーヤーのユーザーにとって非常に不可解な問題です。 問題が最初に提案されたほど深刻ではないか、脆弱性ではないため、VLC Media Playerはその間に使用しても安全ですか?
物事が整理されるまでに時間がかかる場合があります。 ユーザーは、別のメディアプレーヤーを使用するか、VideoLANの問題の評価を信頼することができます。 システム上でのファイルの実行に関しては、特にインターネットや100%信頼できないソースからのファイルの実行に関しては、常に注意することをお勧めします。
さて、あなた :問題全体に対するあなたの見解は何ですか? (Deskmodder経由)
