รายงานเริ่มปรากฏบนอินเทอร์เน็ตเกี่ยวกับช่องโหว่ความปลอดภัยที่สำคัญในเครื่องเล่นมัลติมีเดียยอดนิยม VLC Media Player
อัปเดต : VideoLAN ยืนยันว่าปัญหาไม่ใช่ปัญหาด้านความปลอดภัยใน VLC Media Player วิศวกรตรวจพบว่าปัญหานี้เกิดจากห้องสมุดบุคคลที่สามชื่อ libebml ซึ่งรวมอยู่ใน Ubuntu รุ่นเก่ากว่า นักวิจัยใช้อูบุนตูรุ่นเก่าอย่างเห็นได้ชัด ปลาย
Sam Rutherford ของ Gizmodo แนะนำว่าผู้ใช้ถอนการติดตั้ง VLC ทันทีและอายุของนิตยสารและเว็บไซต์เทคโนโลยีอื่น ๆ ส่วนใหญ่เหมือนกัน หัวข้อข่าวและเรื่องราว Sensationalist สร้างจำนวนหน้าที่มีการเปิดและการคลิกและนั่นเป็นเหตุผลหลักว่าทำไมเว็บไซต์ที่ต้องการใช้ประโยชน์จากสิ่งเหล่านั้นแทนที่จะมุ่งเน้นไปที่หัวข้อและบทความที่ไม่ใช่นักนิยม
รายงานข้อผิดพลาดที่ยื่นภายใต้ CVE-2019-13615 ให้คะแนนปัญหาเป็นสิ่งสำคัญและระบุว่ามีผลกระทบต่อ VLC Media Player 3.0.7.1 และเครื่องเล่นสื่อรุ่นก่อนหน้า
VLC Media Player เวอร์ชันเดสก์ท็อปทั้งหมดที่มีใน Windows, Linux และ Mac OS X ได้รับผลกระทบจากปัญหาตามคำอธิบาย ผู้โจมตีสามารถรันโค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบได้หากช่องโหว่ดังกล่าวถูกใช้ประโยชน์ได้สำเร็จตามรายงานข้อผิดพลาด
คำอธิบายของปัญหาเป็นเรื่องทางเทคนิค แต่ให้ข้อมูลที่มีค่าเกี่ยวกับความเสี่ยงดังกล่าว:
VideoLAN VLC media player 3.0.7.1 มีบัฟเฟอร์แบบอิงฮีพใน mkv :: demux_sys_t :: FreeUnused () ใน modules / demux / mkv / demux.cpp เมื่อถูกเรียกจาก mkv :: เปิดใน modules / demux / mkv / mkv.cpp
ช่องโหว่ดังกล่าวสามารถใช้ประโยชน์ได้เฉพาะเมื่อผู้ใช้เปิดไฟล์ที่เตรียมไว้เป็นพิเศษโดยใช้ VLC Media Player ไฟล์สื่อตัวอย่างที่ใช้รูปแบบ mp4 จะถูกแนบกับรายการแทร็กบั๊กซึ่งปรากฏเพื่อยืนยันสิ่งนี้
วิศวกร VLC มีปัญหาในการทำซ้ำโฆษณาที่ยื่นในเว็บไซต์ติดตามบั๊กอย่างเป็นทางการเมื่อสี่สัปดาห์ที่แล้ว
หัวหน้าโครงการ Jean-Baptiste Kempf โพสต์เมื่อวานนี้ว่าเขาไม่สามารถทำซ้ำข้อผิดพลาดได้เนื่องจากไม่ทำให้ VLC ผิดพลาดเลย คนอื่น ๆ เช่น Rafael Rivera ไม่สามารถทำซ้ำปัญหาใน VLC Media Player หลาย ๆ รุ่นได้เช่นกัน
VideoLAN ไปที่ Twitter เพื่อทำให้องค์กรการรายงาน MITER และ CVE อับอาย
เฮ้ @MITREcorp และ @CVE ใหม่ความจริงที่ว่าคุณไม่เคยติดต่อเราเพื่อหาช่องโหว่ VLC เป็นเวลาหลายปีก่อนที่การเผยแพร่จะไม่เจ๋งจริงๆ แต่อย่างน้อยคุณก็สามารถตรวจสอบข้อมูลของคุณหรือตรวจสอบตัวเองก่อนที่จะส่งช่องโหว่ 9.8 CVSS สู่สาธารณะ ...
โอ้ btw นี่ไม่ใช่ช่องโหว่ VLC ...
องค์กรไม่ได้แจ้ง VideoLAN เกี่ยวกับช่องโหว่ขั้นสูงตามที่โพสต์ของ VideoLAN บน Twitter
ผู้ใช้ VLC Media Player สามารถทำอะไรได้บ้าง
ปัญหาที่วิศวกรและนักวิจัยต้องทำซ้ำทำให้เกิดความสับสนสำหรับผู้ใช้เครื่องเล่นสื่อ VLC Media Player ปลอดภัยหรือไม่ที่จะใช้ในขณะนี้เนื่องจากปัญหาไม่รุนแรงเท่าที่แนะนำไว้ในตอนแรกหรือไม่มีช่องโหว่เลย?
อาจใช้เวลาสักครู่ก่อนที่สิ่งต่างๆจะถูกแยกออก ผู้ใช้สามารถใช้โปรแกรมเล่นสื่อที่แตกต่างกันในขณะเดียวกันหรือเชื่อถือการประเมินปัญหาของ VideoLAN เป็นความคิดที่ดีที่จะต้องระมัดระวังในการเรียกใช้ไฟล์บนระบบโดยเฉพาะอย่างยิ่งเมื่อมาจากอินเทอร์เน็ตและจากแหล่งที่ไม่น่าเชื่อถือ 100%
ตอนนี้คุณ : อะไรคือสิ่งที่คุณทำในเรื่องทั้งหมด? (ผ่าน Deskmodder)
