Na Internetu su se počela pojavljivati izvješća o kritičnoj sigurnosnoj ugroženosti popularnog multimedijskog uređaja VLC Media Player.
Ažuriranje : VideoLAN je potvrdio da problem nije sigurnosni problem u VLC Media Playeru. Inženjeri su otkrili da je problem uzrokovala starija verzija knjižnice trećih proizvođača pod nazivom libebml koja je bila uključena u starije verzije Ubuntua. Istraživač je navodno upotrijebio onu stariju verziju Ubuntua. Kraj
Sam Rutherford iz Gizmoda predložio je da korisnici odmah deinstaliraju VLC, a tenor drugih tehnoloških časopisa i web mjesta uglavnom je identičan. Senzacionalistički naslovi i priče generiraju puno pregledavanja stranica i klikova, a to je vjerojatno glavni razlog zašto web stranice vole koristiti one umjesto da se fokusiraju na naslove i članke koji nisu toliko senzacionalistički.
Izvješće o programskim pogreškama, podneseno u okviru CVE-2019-13615, ocjenjuje problem kritičnim i navodi da utječe na VLC Media Player 3.0.7.1 i prethodne verzije medijskog playera.
Pitanje prema opisu utječe na sve verzije VLC Media Player-a, dostupne za Windows, Linux i Mac OS X. Napadač može izvršiti kôd na daljinu na pogođenim uređajima ako se ranjivost uspješno iskoristi prema izvješću o pogrešci.
Opis izdanja je tehnički, ali ipak pruža vrijedne podatke o ranjivosti:
VideoLAN VLC media player 3.0.7.1 ima prepuno očitavanje međuspremnika u mkv :: demux_sys_t :: FreeUnused () u modulima / demux / mkv / demux.cpp kad se poziva iz mkv :: Otvori u modulima / demux / mkv / mkv.cpp.
Ranjivost se može iskoristiti samo ako korisnici otvaraju posebno pripremljene datoteke pomoću VLC Media Player-a. Primjer medijske datoteke koja koristi mp4 format priložen je popisu programske pogreške koja izgleda da to potvrđuje.
VLC inženjeri imaju poteškoća s oglasima pri reprodukciji problema koji je podnesen na službenom mjestu za praćenje bugova prije četiri tjedna.
Voditelj projekta Jean-Baptiste Kempf objavio je jučer da ne može reproducirati bugu jer uopće nije srušio VLC. Drugi, npr. Rafael Rivera, nisu mogli reproducirati problem ni na nekoliko izvedbi VLC Media Player-a.
VideoLAN je prešao na Twitter kako bi osramotio organizacije za izvještavanje MITER i CVE.
Pozdrav @MITREcorp i @CVEnew, činjenica da NIKADA NIKADA NISU nas kontaktirali zbog VLC ranjivosti godinama prije objavljivanja zaista nije cool; ali barem biste mogli provjeriti svoje podatke ili se sami provjeriti prije nego što javno pošaljete 9.8 CVSS ranjivost ...
Oh, btw, ovo nije VLC ranjivost ...
Organizacije nisu obavijestile VideoLAN o ranjivosti u naprednim prema VideoLAN-ovom postu na Twitteru.
Što korisnici VLC Media Player mogu učiniti
Problemi zbog kojih inženjeri i istraživači moraju ponoviti problem čine ga prilično zagonetnom aferom za korisnike medijskog playera. Je li VLC Media Player u međuvremenu siguran za upotrebu jer problem nije tako ozbiljan kao što je prvotno sugerirano ili uopće nije ranjivost?
Proći će neko vrijeme prije nego se stvari srede. Korisnici bi u međuvremenu mogli koristiti drugi medijski uređaj ili vjerovati VideoLAN-ovoj procjeni problema. Uvijek je dobra ideja biti oprezan kada je riječ o izvršavanju datoteka na sustavima, posebno ako dolaze s Interneta i tamo iz izvora koji se ne mogu 100% vjerovati.
Sada vi : Što mislite o cijeloj problematici? (putem Deskmoddera)
