对最近披露的VLC Media Player中的漏洞感到困惑
- 类别: 安全
关于流行的多媒体播放器VLC Media Player中的一个关键安全漏洞的报告开始出现在Internet上。
更新资料 :VideoLAN 已确认 该问题不是VLC Media Player中的安全问题。工程师检测到该问题是由旧版本的Ubuntu中包含的第三方库libebml的旧版本引起的。研究人员显然使用了旧版本的Ubuntu。 结束
吉兹莫多的山姆·卢瑟福 建议的 用户立即卸载VLC,而其他大多数技术杂志和网站的期限在很大程度上是相同的。耸人听闻的标题和故事会产生大量的网页浏览量和点击次数,这很可能是网站喜欢利用这些内容而不是关注那些不引起轰动的标题和文章的主要原因。
错误报告,存档于 CVE-2019-13615 ,将该问题评为“严重”问题,并指出它会影响VLC Media Player 3.0.7.1和早期版本的媒体播放器。
根据说明,此问题会影响适用于Windows,Linux和Mac OS X的所有VLC Media Player桌面版本。如果根据错误报告成功利用此漏洞,攻击者可以在受影响的设备上远程执行代码。
该问题的描述是技术性的,但仍提供有关该漏洞的有价值的信息:
VideoLAN VLC媒体播放器3.0.7.1具有基于堆的缓冲区,当从mkv :: Open在modules / demux / mkv /中调用时,会在modules / demux / mkv / demux.cpp中的mkv :: demux_sys_t :: FreeUnused()中过度读取。 mkv.cpp
仅当用户使用VLC Media Player打开专门准备的文件时,才能利用此漏洞。使用mp4格式的媒体文件示例附在Bug跟踪清单上,该清单似乎证实了这一点。
VLC工程师有广告 困难 重现了四个星期前在官方错误跟踪网站上提交的问题。
项目负责人让-巴蒂斯特·肯普夫(Jean-Baptiste Kempf)昨天发布消息说,由于根本没有使VLC崩溃,他无法再现该错误。其他,例如拉斐尔·里维拉(Rafael Rivera)也无法在多个VLC Media Player版本上重现该问题。
视频局域网 去 到Twitter,以羞辱报告机构MITER和CVE。
嘿@MITREcorp和@CVEnew,您在发布之前多年都从未联系过我们有关VLC漏洞的事实确实很酷;但是至少您可以在公开发送9.8 CVSS漏洞之前检查您的信息或检查自己...
哦,顺便说一句,这不是VLC漏洞...
根据VideoLAN在Twitter上的帖子,组织没有将Advanced中的漏洞通知VideoLAN。
VLC Media Player用户可以做什么
工程师和研究人员必须复制该问题,这对于媒体播放器的用户来说是一件令人费解的事情。在此期间,VLC Media Player是否可以安全使用,因为问题没有最初建议的那么严重,或者根本不是漏洞?
可能需要一些时间才能解决问题。同时,用户可以使用其他媒体播放器,也可以信任VideoLAN对问题的评估。在系统上执行文件时,尤其是当它们来自Internet以及无法100%信任的来源时,尤其要小心谨慎。
现在轮到你 :您对整个问题有何看法? (通过 桌上型 )