Neskaidrības par nesen atklāto VLC Media Player ievainojamību

Internetā sāka parādīties ziņojumi par populārā multimediju atskaņotāja VLC Media Player kritisku drošības ievainojamību.

Atjauninājums : VideoLAN apstiprināja, ka problēma nav VLC Media Player drošības problēma. Inženieri atklāja, ka problēmas cēlonis ir vecāka trešās puses bibliotēkas versija ar nosaukumu libebml, kas bija iekļauta vecākajās Ubuntu versijās. Acīmredzot pētnieks izmantoja šo vecāko Ubuntu versiju. Beigas

Gizmodo pārstāvis Sam Rutherford ieteica lietotājiem nekavējoties atinstalēt VLC, un citu tehnoloģiju žurnālu un vietņu saturs lielākoties bija identisks. Sensacionālistu virsraksti un stāsti rada daudz lapu skatījumu un klikšķu, un tas, iespējams, ir galvenais iemesls, kāpēc vietnēm patīk izmantot tos, nevis koncentrēties uz virsrakstiem un rakstiem, kas nav tik sensacionālisti.

Kļūdas ziņojumā, kas iesniegts ar numuru CVE-2019-13615, problēma tiek vērtēta kā kritiska un norādīts, ka tā ietekmē VLC Media Player 3.0.7.1 un multivides atskaņotāja iepriekšējās versijas.

Saskaņā ar aprakstu problēma skar visas VLC Media Player versijas, kas ir pieejamas operētājsistēmai Windows, Linux un Mac OS X. Uzbrucējs var attālināti izpildīt kodu ietekmētajās ierīcēs, ja saskaņā ar ziņojumu par kļūdu ievainojamība tiek veiksmīgi izmantota.

Problēmas apraksts ir tehnisks, taču tas tomēr sniedz vērtīgu informāciju par ievainojamību:

VideoLAN VLC multivides atskaņotājam 3.0.7.1 ir uz kaudzēm balstīts buferis, kas pārlasīts mkv :: demux_sys_t :: FreeUnused () moduļos / demux / mkv / demux.cpp, kad tiek izsaukts no mkv: Atvērt moduļos / demux / mkv / mkv.cpp.

Ievainojamību var izmantot tikai tad, ja lietotāji atver īpaši sagatavotus failus, izmantojot VLC Media Player. Multivides faila paraugs, kas izmanto formātu mp4, ir pievienots kļūdu ierakstu sarakstam, kas, šķiet, to apstiprina.

VLC inženieriem ir grūtības atveidot problēmu, kas pirms četrām nedēļām tika iesniegta oficiālajā kļūdu izsekošanas vietnē.

Projekta vadītājs Žans Baptiste Kempfs vakar ievietoja, ka viņš nevarēja reproducēt kļūdu, jo tā vispār neveicināja VLC. Citi, piemēram, Rafaels Rivera, nevarēja atkārtot šo problēmu arī vairākās VLC Media Player versijās.

VideoLAN devās uz čivināt, lai apkaunotu ziņojošās organizācijas MITER un CVE.

Sveiki, @MITREcorp un @CVEnew, tas, ka jūs nekad pirms publicēšanas nekad nesazinātos ar mums par VLC ievainojamībām, tiešām nav forši; bet jūs vismaz varētu pārbaudīt savu informāciju vai pārbaudīt sevi pirms 9.8 CVSS ievainojamības publiskas nosūtīšanas ...

Ak, btw, tā nav VLC ievainojamība ...

Saskaņā ar VideoLAN ierakstu Twitter Twitter, organizācijas neinformēja VideoLAN par progresējošo ievainojamību.

Ko var darīt VLC Media Player lietotāji?

Problēmas, kas inženieriem un pētniekiem ir jāatkārto, padara to par mulsinošu lietu multivides atskaņotāja lietotājiem. Vai VLC Media Player pa to laiku ir droši lietot, jo problēma nav tik nopietna, kā sākotnēji tika ieteikts, vai arī tā vispār nav ievainojamība?

Var paiet kāds laiks, pirms lietas tiek sakārtotas. Tikmēr lietotāji varēja izmantot citu multivides atskaņotāju vai uzticēties VideoLAN novērtējumam par problēmu. Vienmēr ir laba piesardzība, kad runa ir par failu izpildi sistēmās, it īpaši, ja tie nāk no interneta un no avotiem, kuriem nevar 100% uzticēties.

Tagad jūs : kāda ir jūsu attieksme pret visu jautājumu? (izmantojot Deskmodder)