Nhầm lẫn về một lỗ hổng được tiết lộ gần đây trong VLC Media Player

Các báo cáo bắt đầu xuất hiện trên Internet về một lỗ hổng bảo mật quan trọng trong trình phát đa phương tiện phổ biến VLC Media Player.

Cập nhật : Videolan xác nhận rằng sự cố không phải là vấn đề bảo mật trong VLC Media Player. Các kỹ sư phát hiện ra rằng vấn đề này là do một phiên bản cũ hơn của thư viện bên thứ ba có tên libebml được bao gồm trong các phiên bản cũ hơn của Ubuntu. Các nhà nghiên cứu đã sử dụng phiên bản cũ hơn của Ubuntu. Kết thúc

Sam Rutherford của Gizmodo đề nghị người dùng gỡ cài đặt VLC ngay lập tức và phần lớn các tạp chí và trang web công nghệ khác giống hệt nhau. Các tiêu đề và câu chuyện theo chủ nghĩa giật gân tạo ra nhiều lượt xem và nhấp chuột, và đó có thể là lý do chính tại sao các trang web muốn sử dụng chúng thay vì tập trung vào các tiêu đề và bài viết không mang tính giật gân.

Báo cáo lỗi, được nộp theo CVE-2019-13615, đánh giá vấn đề là nghiêm trọng và nói rằng nó ảnh hưởng đến VLC Media Player 3.0.7.1 và các phiên bản trước của trình phát phương tiện.

Tất cả các phiên bản máy tính để bàn của VLC Media Player, có sẵn cho Windows, Linux và Mac OS X, bị ảnh hưởng bởi sự cố theo mô tả. Kẻ tấn công có thể thực thi mã từ xa trên các thiết bị bị ảnh hưởng nếu lỗ hổng được khai thác thành công theo báo cáo lỗi.

Mô tả vấn đề là kỹ thuật, tuy nhiên nó cung cấp thông tin có giá trị về lỗ hổng:

Trình phát đa phương tiện Vylan VLC 3.0.7.1 có bộ đệm dựa trên heap đọc trong mkv :: demux_sys_t :: FreeUnuse () trong các mô-đun / demux / mkv / demux.cpp khi được gọi từ mkv :: Mở trong mô-đun / demux / mkv / mkv.cpp.

Lỗ hổng chỉ có thể được khai thác nếu người dùng mở các tệp được chuẩn bị cụ thể bằng VLC Media Player. Một tệp phương tiện mẫu sử dụng định dạng mp4 được đính kèm vào danh sách theo dõi lỗi xuất hiện để xác nhận điều này.

Các kỹ sư của VLC gặp khó khăn khi quảng cáo tái tạo vấn đề đã được đệ trình trên trang web theo dõi lỗi chính thức bốn tuần trước.

Trưởng dự án Jean-Baptiste Kempf đã đăng ngày hôm qua rằng ông không thể tái tạo lỗi này vì nó không bị sập VLC. Những người khác, ví dụ như Rafael Rivera, cũng không thể tái tạo vấn đề trên một số bản dựng VLC Media Player.

Videolan đã lên Twitter để làm xấu hổ các tổ chức báo cáo MITER và CVE.

Xin chào @MITREcorp và @CVEnew, thực tế là bạn KHÔNG BAO GIỜ liên hệ với chúng tôi về các lỗ hổng VLC trong nhiều năm trước khi xuất bản thực sự không hay; nhưng ít nhất bạn có thể kiểm tra thông tin của mình hoặc tự kiểm tra trước khi gửi lỗ hổng 9, 8 CVSS công khai ...

Ồ, btw, đây không phải là lỗ hổng VLC ...

Các tổ chức đã không thông báo cho Videolan về lỗ hổng nâng cao theo bài đăng của Videolan trên Twitter.

Người dùng VLC Media Player có thể làm gì

Các vấn đề mà các kỹ sư và nhà nghiên cứu phải tái tạo vấn đề khiến nó trở thành vấn đề khó hiểu đối với người dùng phương tiện truyền thông. VLC Media Player có an toàn để sử dụng trong thời gian này không vì vấn đề không nghiêm trọng như đề xuất ban đầu hay hoàn toàn không phải là một lỗ hổng?

Nó có thể mất một lúc trước khi mọi thứ được sắp xếp ra. Người dùng có thể sử dụng một trình phát đa phương tiện khác trong khi chờ đợi hoặc tin tưởng vào sự đánh giá của Videolan về vấn đề này. Luôn luôn là một ý tưởng tốt khi cẩn thận khi thực hiện các tệp trên hệ thống, đặc biệt là khi chúng đến từ Internet và từ các nguồn không thể tin cậy 100%.

Bây giờ bạn : bạn đang làm gì trên toàn bộ vấn đề? (thông qua Deskmodder)