בלבול לגבי פגיעות שנחשפה לאחרונה ב VLC Media Player

• קטגוריה: בִּטָחוֹן

נסה את הכלי שלנו לביטול בעיות

בחר במערכת ההפעלה Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro בחר תוכנית השלכה (אופציונלית) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

תאר את הבעיה שלך

לקבל תשובה

שלח לי בדוא"ל הצג באתר

דוחות החלו להופיע באינטרנט על פגיעות אבטחה קריטית בנגן המדיה הפופולרי VLC Media Player.

עדכון : VideoLAN מְאוּשָׁר שהנושא לא היה נושא אבטחה ב- VLC Media Player. המהנדסים גילו שהבעיה נגרמה על ידי גרסה ישנה יותר של ספריית הצד השלישי בשם libebml שנכללה בגירסאות ישנות יותר של אובונטו. החוקרת השתמשה ככל הנראה בגירסה הישנה יותר של אובונטו. סוֹף

סם רתרפורד של גיזמודו מוּצָע שמשתמשים מסירים את ההתקנה של VLC באופן מיידי והטנור של מגזינים ואתרי טק אחרים היה זהה לרוב. כותרות וסיפורים סנסציוניסטיים מניבים המון צפיות בדף וקליקים, וזו כנראה הסיבה העיקרית לכך שאתרים אוהבים לעשות שימוש בכותרות במקום להתמקד בכותרות ובכתבות שאינן סנסציוניסטיות.

דוח הבאגים, שהוגש תחת CVE-2019-13615 , מדרג את הנושא כקריטי ומציין שהוא משפיע על VLC Media Player 3.0.7.1 ועל הגרסאות הקודמות של נגן המדיה.

כל גרסאות שולחן העבודה של VLC Media Player, הזמינות עבור Windows, Linux ו- Mac OS X, מושפעות מהבעיה על פי התיאור. תוקף יכול לבצע קוד מרחוק במכשירים המושפעים אם הפגיעות מנוצלת בהצלחה על פי דוח הבאג.

התיאור של הבעיה הוא טכני, אך הוא מספק מידע חשוב על הפגיעות בכל זאת:

ל- VideoLAN VLC Media Player 3.0.7.1 יש חיץ מבוסס-ערימת קריאה מוגזמת ב- mkv :: demux_sys_t :: FreeUnused () במודולים / demux / mkv / demux.cpp כאשר הוא נקרא מ- mkv :: פתח במודולים / demux / mkv / mkv.cpp.

ניתן לנצל את הפגיעות רק אם משתמשים פותחים קבצים מוכנים ספציפיים באמצעות VLC Media Player. קובץ מדיה לדוגמא המשתמש בפורמט mp4 מצורף לרישום מסלול הבאג שנראה כי הוא מאשר זאת.

למהנדסי VLC יש מודעה קשיים לשכפל את הבעיה שהוגשה באתר מעקב הבאגים הרשמי לפני ארבעה שבועות.

ראש הפרויקט ז'אן-בפטיסט קמפף פרסם אתמול כי הוא לא יכול לשחזר את הבאג מכיוון שהוא לא התרסק בכלל VLC. אחרים, למשל רפאל ריברה, לא יכול היה לשחזר את הנושא בכמה מבני VLC Media Player.

VideoLAN הלך לטוויטר כדי לבייש את ארגוני הדיווח MITER ו- CVE.

היי @MITREcorp ו- @ CVEnew, העובדה שאף פעם לא פנה אלינו לפגיעויות VLC במשך שנים לפני הפרסום היא ממש לא מגניבה; אבל לפחות תוכל לבדוק את המידע שלך או לבדוק את עצמך לפני שאתה שולח פגיעות של 9.8 CVSS בפומבי ...

אה, גרוס, זו לא פגיעות ב- VLC ...

הארגונים לא הודיעו ל- VideoLAN על הפגיעות המתקדמת על פי הפוסט של VideoLAN בטוויטר.

מה משתמשי VLC Media Player יכולים לעשות

הבעיות שיש למהנדסים וחוקרים בכדי לשחזר את הנושא הופכות את זה למדי לפרשה התמוהה עבור משתמשי נגן המדיה. האם VLC Media Player בטוח לשימוש בינתיים מכיוון שהבעיה אינה חמורה כמו שהוצע בתחילה או בכלל לא פגיעות?

זה עשוי להימשך זמן מה עד שהדברים יסתדרו. משתמשים יכולים להשתמש בנגן מדיה אחר בינתיים או לסמוך על הערכת VideoLAN בנושא. תמיד כדאי להיזהר בכל הקשור לביצוע קבצים במערכות, במיוחד כאשר הם מגיעים מהאינטרנט ומשם ממקורות שלא ניתן לסמוך עליהם במאה אחוז.

עכשיו אתה : מה הצורך שלך בכל הנושא? (באמצעות מעצב שולחן )