Zmatek ohledně nedávno odhalené chyby zabezpečení v přehrávači VLC Media Player

Na internetu se začaly objevovat zprávy o kritické bezpečnostní chybě populárního multimediálního přehrávače VLC Media Player.

Aktualizace : Server VideoLAN potvrdil, že se nejedná o problém zabezpečení v přehrávači VLC Media Player. Inženýři zjistili, že problém byl způsoben starší verzí knihovny třetích stran s názvem libebml, která byla součástí starších verzí Ubuntu. Výzkumník zřejmě použil tuto starší verzi Ubuntu. Konec

Gizmodo Sam Rutherford navrhl, aby uživatelé okamžitě odinstalovali VLC a tenor jiných technických časopisů a webů byl z velké části identický. Sensationalist titulky a příběhy generují spoustu zobrazení stránek a kliknutí, a to je pravděpodobně hlavní důvod, proč weby rádi tyto využívají, místo toho, aby se zaměřovaly na titulky a články, které nejsou tak senzační.

Zpráva o chybě, podaná pod CVE-2019-13615, hodnotí problém jako kritický a uvádí, že ovlivňuje VLC Media Player 3.0.7.1 a předchozí verze přehrávače médií.

Všechny stolní verze VLC Media Player, které jsou k dispozici pro Windows, Linux a Mac OS X, jsou problémem popsány. Útočník by mohl na postižených zařízeních provést kód na dálku, pokud je chyba zabezpečení podle zprávy o chybě úspěšně zneužita.

Popis problému je technický, ale přesto poskytuje cenné informace o této chybě zabezpečení:

Přehrávač médií VideoLAN VLC 3.0.7.1 má přepsání vyrovnávací paměti založené na haldě v mkv :: demux_sys_t :: FreeUnused () v modulech / demux / mkv / demux.cpp při volání z mkv :: Otevřít v modulech / demux / mkv / mkv.cpp.

Tuto chybu zabezpečení lze zneužít pouze v případě, že uživatelé otevírají speciálně připravené soubory pomocí přehrávače VLC Media Player. Ukázkový mediální soubor, který používá formát mp4, je připojen k seznamu stop chyb, který se zobrazí, aby to potvrdil.

Inženýři VLC mají potíže s reprodukcí problému, který byl podán na oficiálním webu pro sledování chyb před čtyřmi týdny.

Vedoucí projektu Jean-Baptiste Kempf včera zveřejnil, že nedokázal chybu reprodukovat, protože vůbec nezklamal VLC. Ostatní, např. Rafael Rivera, nemohli problém reprodukovat také na několika sestavách VLC Media Player.

VideoLAN šel na Twitter, aby zahanbil zpravodajské organizace MITER a CVE.

Ahoj @MITREcorp a @CVEnew, skutečnost, že nás NIKDY nikdy nikdy nebudete kontaktovat kvůli chybám VLC ještě před publikováním, není v pohodě; ale alespoň byste mohli zkontrolovat své informace nebo se sami zkontrolovat před odesláním chyby zabezpečení CVSS 9.8 veřejně ...

Oh, btw, toto není zranitelnost VLC ...

Organizace neinformovaly server VideoLAN o zranitelnosti v pokročilých podle příspěvku společnosti VideoLAN na Twitteru.

Co mohou uživatelé přehrávače VLC Media Player udělat

Problémy, které musí inženýři a výzkumníci zopakovat, činí z uživatelů přehrávače médií záhadnou záležitost. Je mezitím bezpečné používání přehrávače VLC Media Player, protože problém není tak závažný, jak se původně navrhovalo, nebo vůbec není zranitelností?

Může to chvíli trvat, než se vše vyřeší. Uživatelé by mohli mezitím použít jiný přehrávač médií nebo věřit, že server VideoLAN problém vyhodnotí. Vždy je dobré být opatrný, pokud jde o provádění souborů v systémech, zejména pokud pocházejí z internetu a tam ze zdrojů, kterým nelze 100% důvěřovat.

Nyní vy : Jaký je váš názor na celý problém? (přes Deskmodder)