Laporan mula muncul di Internet tentang kelemahan keselamatan kritikal dalam pemain multimedia popular VLC Media Player.
Kemas kini : VideoLAN mengesahkan bahawa isu itu bukan isu keselamatan dalam VLC Media Player. Jurutera mengesan bahawa isu itu disebabkan oleh versi lama perpustakaan pihak ketiga yang disebut libebml yang dimasukkan dalam versi lama Ubuntu. Penyelidik menggunakan versi lama Ubuntu itu. Akhirnya
Sam Rutherford dari Gizmodo mencadangkan pengguna menyahpasang VLC serta-merta dan majalah teknologi dan laman web yang lain sama dengan kebanyakannya. Tajuk utama dan cerita menghasilkan banyak tayangan halaman dan klik, dan itu mungkin merupakan sebab utama mengapa tapak suka menggunakan mereka daripada memfokuskan pada tajuk utama dan artikel yang tidak seperti sensasi.
Laporan bug yang difailkan di bawah CVE-2019-13615, menilai isu ini sebagai kritikal dan menyatakan bahawa ia mempengaruhi VLC Media Player 3.0.7.1 dan versi sebelumnya dari pemain media.
Semua versi desktop VLC Media Player, tersedia untuk Windows, Linux dan Mac OS X, dipengaruhi oleh isu tersebut mengikut perihalan. Seorang penyerang boleh melaksanakan kod jauh dari peranti yang terjejas jika kelemahan itu dieksploitasi dengan jayanya menurut laporan pepijat.
Penerangan mengenai isu ini adalah teknikal, tetapi ia memberikan maklumat yang berharga tentang kelemahan tersebut:
Pemain media VideoLAN VLC 3.0.7.1 mempunyai penampan berasaskan heap yang dibaca lebih dalam mkv :: demux_sys_t :: FreeUnused () dalam modul / demux / mkv / demux.cpp apabila dipanggil dari mkv :: Terbuka dalam modul / demux / mkv / mkv.cpp.
Kelemahan ini hanya boleh dieksploitasi jika pengguna membuka fail yang disediakan secara khusus menggunakan VLC Media Player. Fail media sampel yang menggunakan format mp4 dilampirkan pada senarai trek pepijat yang muncul untuk mengesahkannya.
Jurutera VLC mempunyai kesulitan iklan untuk menghasilkan semula isu yang telah difailkan di tapak pengesanan pepijat rasmi empat minggu lalu.
Projek mengetuai Jean-Baptiste Kempf menyiarkannya semalam bahawa dia tidak dapat membiak semula pepijat kerana ia tidak merosakkan VLC sama sekali. Lain-lain, misalnya Rafael Rivera, tidak dapat membiak isu itu pada beberapa pemain Media VLC yang dibina juga.
VideoLAN pergi ke Twitter untuk memalukan organisasi pelapor MITER dan CVE.
Hei @MITREcorp dan @CVEnew, hakikat bahawa anda PERNAH pernah menghubungi kami untuk kelemahan VLC selama bertahun-tahun sebelum penerbitan benar-benar tidak keren; tetapi sekurang-kurangnya anda boleh menyemak maklumat anda atau semak sendiri sebelum menghantar 9.8 kelemahan CVSS secara terbuka ...
Oh, btw, ini bukan kelemahan VLC ...
Organisasi tidak memaklumkan VideoLAN tentang kelemahan dalam lanjutan mengikut pos VideoLAN di Twitter.
Apa yang boleh dilakukan pengguna VLC Media Player
Masalah-masalah yang jurutera dan penyelidik perlu meniru isu ini menjadikannya perkara yang membingungkan bagi pengguna pemain media. Adakah VLC Media Player selamat untuk digunakan dalam masa yang sama kerana isu ini tidak begitu teruk seperti yang dicadangkan pada mulanya atau tidak kerentanan sama sekali?
Ia mungkin mengambil sedikit masa sebelum perkara diasingkan. Pengguna boleh menggunakan pemain media yang berbeza pada masa ini atau menilai penilaian VideoLAN tentang isu tersebut. Adalah sentiasa menjadi idea yang baik untuk berhati-hati apabila melaksanakan fail pada sistem, terutamanya apabila mereka datang dari Internet dan di sana dari sumber yang tidak boleh dipercaya 100%.
Sekarang Anda : Apa yang anda ambil pada keseluruhan isu? (melalui Deskmodder)
