Verwirrung über eine kürzlich offenbarte Sicherheitsanfälligkeit in VLC Media Player
Im Internet tauchten Berichte über eine kritische Sicherheitslücke im beliebten Multimedia-Player VLC Media Player auf.
Aktualisieren: VideoLAN Bestätigt dass das Problem kein Sicherheitsproblem in VLC Media Player war. Die Ingenieure stellten fest, dass das Problem durch eine ältere Version der Drittanbieter-Bibliothek namens libebml verursacht wurde, die in älteren Versionen von Ubuntu enthalten war. Der Forscher hat anscheinend diese ältere Version von Ubuntu verwendet. Ende
Sam Rutherford von Gizmodo empfohlen dass Benutzer VLC sofort deinstallieren und der Tenor anderer Tech-Magazine und Websites größtenteils identisch war. Sensationelle Schlagzeilen und Geschichten erzeugen viele Seitenaufrufe und Klicks, und dies ist wahrscheinlich der Hauptgrund, warum Websites diese gerne verwenden, anstatt sich auf Schlagzeilen und Artikel zu konzentrieren, die nicht so sensationell sind.
Der Fehlerbericht, abgelegt unter CVE-2019-13615, bewertet das Problem als kritisch und gibt an, dass es VLC Media Player 3.0.7.1 und frühere Versionen des Media Players betrifft.
Alle Desktop-Versionen von VLC Media Player, die für Windows, Linux und Mac OS X verfügbar sind, sind gemäß der Beschreibung von dem Problem betroffen. Ein Angreifer kann Code auf betroffenen Geräten remote ausführen, wenn die Sicherheitsanfälligkeit gemäß dem Fehlerbericht erfolgreich ausgenutzt wird.
Die Beschreibung des Problems ist technisch, liefert jedoch wertvolle Informationen über die Sicherheitsanfälligkeit:
VideoLAN VLC Media Player 3.0.7.1 verfügt über einen Heap-basierten Puffer, der in mkv :: demux_sys_t :: FreeUnused () in modules / demux / mkv / demux.cpp überschrieben wird, wenn er von mkv :: Open in modules / demux / mkv / aufgerufen wird mkv.cpp.
Die Sicherheitsanfälligkeit kann nur ausgenutzt werden, wenn Benutzer speziell vorbereitete Dateien mit VLC Media Player öffnen. Eine Beispielmediendatei, die das mp4-Format verwendet, wird an die Liste der Fehlerspuren angehängt, die dies zu bestätigen scheint.
VLC-Ingenieure haben Anzeige Schwierigkeiten Reproduktion des Problems, das vor vier Wochen auf der offiziellen Website zur Fehlerverfolgung abgelegt wurde.
Projektleiter Jean-Baptiste Kempf gab gestern bekannt, dass er den Fehler nicht reproduzieren konnte, da er VLC überhaupt nicht zum Absturz brachte. Andere, z. Rafael Rivera konnte das Problem auch auf mehreren VLC Media Player-Builds nicht reproduzieren.
VideoLAN ging auf Twitter, um die berichtenden Organisationen MITRE und CVE zu beschämen.
Hey @MITREcorp und @CVEnew, die Tatsache, dass Sie uns vor der Veröffentlichung jahrelang NIE wegen VLC-Schwachstellen kontaktieren, ist wirklich nicht cool. Aber zumindest können Sie Ihre Informationen überprüfen oder sich selbst überprüfen, bevor Sie die Sicherheitsanfälligkeit 9.8 CVSS öffentlich senden…
Übrigens ist dies keine VLC-Sicherheitslücke…
Die Organisationen haben VideoLAN laut VideoLANs Beitrag auf Twitter nicht über die Sicherheitsanfälligkeit in Advanced informiert.
Was VLC Media Player-Benutzer tun können
Die Probleme, die Ingenieure und Forscher haben, um das Problem zu replizieren, machen es für Benutzer des Media Players zu einer rätselhaften Angelegenheit. Ist die Verwendung von VLC Media Player in der Zwischenzeit sicher, da das Problem nicht so schwerwiegend ist wie ursprünglich vorgeschlagen oder überhaupt keine Sicherheitsanfälligkeit?
Es kann eine Weile dauern, bis die Dinge geklärt sind. Benutzer können in der Zwischenzeit einen anderen Media Player verwenden oder der Einschätzung des Problems durch VideoLAN vertrauen. Es ist immer eine gute Idee, bei der Ausführung von Dateien auf Systemen vorsichtig zu sein, insbesondere wenn diese aus dem Internet und von Quellen stammen, denen nicht zu 100% vertraut werden kann.
Jetzt du: Wie sehen Sie das ganze Thema? (über Deskmodder )