VLC Media Player'da yakın zamanda açıklanan bir güvenlik açığı hakkında kafa karışıklığı
- Kategori: Güvenlik
Popüler multimedya oynatıcı VLC Media Player'daki kritik bir güvenlik açığı hakkında İnternette raporlar ortaya çıkmaya başladı.
Güncelleme : VideoLAN onaylanmış sorunun VLC Media Player'da bir güvenlik sorunu olmadığı. Mühendisler, sorunun Ubuntu'nun eski sürümlerinde bulunan libebml adlı üçüncü taraf kitaplığının eski bir sürümünden kaynaklandığını tespit ettiler. Araştırmacı, görünüşe göre Ubuntu'nun eski sürümünü kullandı. Son
Gizmodo'nun Sam Rutherford'u önerildi kullanıcıların VLC'yi hemen kaldırdığı ve diğer teknoloji dergilerinin ve sitelerinin kullanım biçiminin çoğunlukla aynı olduğu. Sansasyonel başlıklar ve hikayeler çok sayıda sayfa görüntüleme ve tıklama üretir ve sitelerin sansasyonel olmayan başlıklara ve makalelere odaklanmak yerine bunları kullanmaktan hoşlanmasının ana nedeni muhtemelen budur.
Hata raporu, altında dosyalandı CVE-2019-13615 , sorunu kritik olarak derecelendirir ve VLC Media Player 3.0.7.1 ve ortam yürütücüsünün önceki sürümlerini etkilediğini belirtir.
Windows, Linux ve Mac OS X için mevcut olan VLC Media Player'ın tüm masaüstü sürümleri, açıklamaya göre sorundan etkilenir. Hata raporuna göre güvenlik açığından başarıyla yararlanılırsa, saldırgan etkilenen cihazlarda uzaktan kod yürütebilir.
Sorunun açıklaması tekniktir, ancak yine de güvenlik açığı hakkında değerli bilgiler sağlar:
VideoLAN VLC ortam yürütücüsü 3.0.7.1, mkv'den çağrıldığında mkv :: demux_sys_t :: FreeUnused () modüllerinde / demux / mkv / demux.cpp'de yığın tabanlı bir arabelleğe aşırı okuma içerir :: Modüller / demux / mkv / içinde aç mkv.cpp.
Güvenlik açığından yalnızca, kullanıcılar özel olarak hazırlanmış dosyaları VLC Media Player kullanarak açarsa yararlanılabilir. Bunu doğrulamak için görünen hata izleme listesine mp4 formatını kullanan örnek bir medya dosyası eklenmiştir.
VLC mühendislerinin reklamı var zorluklar dört hafta önce resmi hata izleme sitesinde dosyalanan sorunu yeniden oluşturmak.
Proje lideri Jean-Baptiste Kempf dün, VLC'yi hiç çökertmediği için hatayı yeniden oluşturamadığını bildirdi. Diğerleri, ör. Rafael Rivera, sorunu birkaç VLC Media Player yapısında da yeniden oluşturamadı.
VideoLAN gitti Twitter'a, MITRE ve CVE rapor eden kuruluşları utandırmak için.
Hey @MITREcorp ve @CVEnew, yayınlamadan önce yıllarca VLC güvenlik açıkları için bizimle ASLA iletişime geçmemeniz gerçekten harika değil; ama en azından 9.8 CVSS zafiyetini herkese açık olarak göndermeden önce bilgilerinizi kontrol edebilir veya kendinizi kontrol edebilirsiniz ...
Oh, btw, bu bir VLC güvenlik açığı değil ...
VideoLAN'ın Twitter'daki gönderisine göre kuruluşlar VideoLAN'a gelişmiş güvenlik açığı hakkında bilgi vermedi.
VLC Media Player kullanıcıları neler yapabilir?
Mühendislerin ve araştırmacıların bu sorunu tekrarlamak zorunda olduğu sorunlar, bunu medya oynatıcı kullanıcıları için oldukça kafa karıştırıcı hale getiriyor. VLC Media Player'ın bu arada kullanımı güvenli midir, çünkü sorun başlangıçta önerildiği kadar ciddi değil veya hiç bir güvenlik açığı değil mi?
İşlerin düzelmesi biraz zaman alabilir. Kullanıcılar bu arada farklı bir medya oynatıcı kullanabilir veya VideoLAN'ın konuyla ilgili değerlendirmesine güvenebilirler. Sistemlerdeki dosyaların yürütülmesi söz konusu olduğunda, özellikle İnternet'ten ve oradan% 100 güvenilemeyen kaynaklardan geldiklerinde dikkatli olmak her zaman iyi bir fikirdir.
Şimdi sen : Konuyla ilgili görüşünüz nedir? (üzerinden Deskmodder )