Er begonnen op internet rapporten te verschijnen over een kritiek beveiligingsprobleem in de populaire multimediaspeler VLC Media Player.
Update : VideoLAN bevestigde dat het probleem geen beveiligingsprobleem was in VLC Media Player. De technici hebben vastgesteld dat het probleem werd veroorzaakt door een oudere versie van de externe bibliotheek, libebml genaamd, die was opgenomen in oudere versies van Ubuntu. De onderzoeker gebruikte blijkbaar die oudere versie van Ubuntu. Einde
Sam Rutherford van Gizmodo suggereerde dat gebruikers VLC onmiddellijk verwijderen en dat de strekking van andere technische tijdschriften en sites grotendeels identiek was. Sensationalistische koppen en verhalen genereren veel paginaweergaven en klikken, en dat is waarschijnlijk de belangrijkste reden waarom sites deze graag gebruiken in plaats van zich te concentreren op koppen en artikelen die niet zo sensationeel zijn.
Het bugrapport, ingediend onder CVE-2019-13615, beoordeelt het probleem als kritiek en stelt dat het van invloed is op VLC Media Player 3.0.7.1 en eerdere versies van de mediaspeler.
Alle desktopversies van VLC Media Player, beschikbaar voor Windows, Linux en Mac OS X, hebben volgens de beschrijving last van het probleem. Een aanvaller kan code op afstand uitvoeren op getroffen apparaten als het beveiligingslek met succes wordt misbruikt volgens het bugrapport.
De beschrijving van het probleem is technisch, maar biedt toch waardevolle informatie over het beveiligingslek:
VideoLAN VLC mediaspeler 3.0.7.1 heeft een op heap gebaseerde buffer overschreven in mkv :: demux_sys_t :: FreeUnused () in modules / demux / mkv / demux.cpp wanneer aangeroepen vanuit mkv :: Open in modules / demux / mkv / mkv.cpp.
Het beveiligingslek kan alleen worden misbruikt als gebruikers specifiek voorbereide bestanden openen met VLC Media Player. Een voorbeeld van een mediabestand dat de mp4-indeling gebruikt, is aan de bugtracklijst toegevoegd die verschijnt om dit te bevestigen.
VLC-ingenieurs hebben advertentieproblemen bij het reproduceren van het probleem dat vier weken geleden op de officiƫle site voor het volgen van bugs is geplaatst.
Projectleider Jean-Baptiste Kempf heeft gisteren gepost dat hij de bug niet kon reproduceren, omdat deze VLC helemaal niet crashte. Anderen, bijvoorbeeld Rafael Rivera, konden het probleem ook niet reproduceren op verschillende VLC Media Player-builds.
VideoLAN ging naar Twitter om de rapporterende organisaties MITER en CVE te schamen.
Hallo @MITREcorp en @CVEnew, het feit dat je NOOIT jarenlang contact met ons opneemt voor VLC-kwetsbaarheden voordat je publiceert, is echt niet cool; maar je zou tenminste je info kunnen controleren of jezelf kunnen controleren voordat je 9.8 CVSS-kwetsbaarheid publiekelijk verstuurt ...
Oh, trouwens, dit is geen VLC-kwetsbaarheid ...
De organisaties hebben VideoLAN niet op de hoogte gebracht van het beveiligingslek dat geavanceerd was volgens het bericht van VideoLAN op Twitter.
Wat gebruikers van VLC Media Player kunnen doen
De problemen die ingenieurs en onderzoekers hebben om het probleem te repliceren, maakt het een behoorlijk raadselachtige zaak voor gebruikers van de mediaspeler. Is VLC Media Player in de tussentijd veilig te gebruiken omdat het probleem niet zo ernstig is als aanvankelijk werd gesuggereerd of helemaal geen kwetsbaarheid is?
Het kan even duren voordat de zaken worden opgelost. Gebruikers kunnen in de tussentijd een andere mediaspeler gebruiken of op VideoLAN's beoordeling van het probleem vertrouwen. Het is altijd een goed idee om voorzichtig te zijn met het uitvoeren van bestanden op systemen, vooral als ze afkomstig zijn van internet en daar van bronnen die niet 100% vertrouwd kunnen worden.
Nu u : wat is uw mening over het hele probleem? (via Deskmodder)
