Teave

VLC vaidlustab kriitilise turvavea väite, et häkkerid saaksid teie failidele juurde pääseda

VLC vaidlustab kriitilise turvavea väite, et häkkerid saaksid teie failidele juurde pääseda

VLC on üks maailma populaarseimaid videopleiereid, tänu väikesele osale selle tasuta avatud lähtekoodiga ehitusele.

Kahjuks väidavad aruanded, et selle avatud lähtekoodiga olemus võis muuta selle häkkerite suhtes haavatavaks. Saksa turvaagentuuri CERT-Bund avastatud turvaviga tähendab, et häkkerid saaksid meediumipleieri kaudu juurdepääsu teie failidele.

Enne VLC kustutamist tasub siiski ära kuulata videopleieri esindajad: nende sõnul on see kõik "võltsuudised".

SEOTUD: VÕIMALIK JAHTIMINE: KAS SAAB AJUD OLLA HAKKURITE Sihtmärk?

Väidetav "kriitiline" viga

Nagu Gizmodo teatab, avastas Saksa turvaagentuur CERT-Bund VLC-s (loetletud kui CVE-2019-13615) väga tõsise vea (WinFuture'i kaudu). Veale anti haavatavuse põhiskoor 9,8, mis klassifitseerib selle kriitiliseks. Gizmodo soovitab kustutada VLC "seni, kuni VideoLAN-projekti inimesed saavad selle vea lappida".

Väidetavalt võimaldab haavatavus RCE-d (koodi kaugkäivitamine). Seda tüüpi viga võib lubada häkkeritel tarkvara installimist, muutmist või käitamist kasutaja arvutis ilma autoriseerimiseta. Seda saaks kasutada ka arvuti failide otsimiseks ja nende vaatamiseks.

Gizmodo teatab, et see mõjutab VLC Windowsi, Linuxi ja Unixi versioone, kuid mitte MacOS-i versiooni. Kui see on tõsi, on see tohutul hulgal haavatavaid kasutajaid.

Kuid uued aruanded näitavad, et see on suur "kui".

Võltsitud küberturvalisuse uudised?

Nagu Lifehackeris, on selle väljaande veateade olnud avatud neli nädalat, kuid VideoLANi president ja juhtiv VLC arendaja Jean-Baptiste Kempf on alles hiljuti jätnud rea kommentaare, mis viitavad sellele, et aruanded on "võltsuudised".

Kempf tegi järgmised kommentaarid:

"See ei jookse kokku VLC 3.0.7.1 tavalise väljalaskega"

"Kui jõuate selle pileti kaudu uudiseartikli kaudu, milles väidetakse VLC kriitilist viga, soovitan teil kõigepealt lugeda ülaltoodud kommentaari ja oma (võlts) uudiste allikad uuesti läbi mõelda."

"Vabandust, kuid seda viga ei saa taasesitada ja see ei kuku VLC-d üldse kokku."

VideoLAN organisatsioon, VLC taga olev rühm, säutsus ka järgmist:

Hei, @MITREcorp ja @ CVEnew, see, et te kunagi ei võta meiega VLC haavatavuste pärast aastaid enne avaldamist ühendust, pole tõesti lahe; kuid vähemalt võiksite enne 9.8 CVSS-i haavatavuse avalikult saatmist oma teavet kontrollida või ennast kontrollida ...

- VideoLAN (@videolan) 23. juuli 2019

Nad väidavad, et probleem lahendati 18 kuud tagasi ja et VLC pole haavatav.

Teave #VLC "turbeprobleemi" kohta: VLC pole haavatav.
tl; dr: probleem on kolmanda osapoole teegis libebml, mis on parandatud rohkem kui 16 kuud tagasi.
VLC, kuna versioon 3.0.3 on tarnitud õige versiooniga, ja @MITREcorp ei kontrollinud isegi nende väidet.

Lõng:

- VideoLAN (@videolan) 24. juuli 2019

Uuendused käivad, kuid tundub, et CERT-Bund võib olla kuumas vees, kui nad tõesti võltsitud turvavea avaldasid. Vahepeal on teie asi, keda te usute. Hoidke silma peal VLC ChangeLogil, et näha, kas probleemiga seotud parandusi tuleb - või on see kõik tõesti ainult võltsuudised.


Vaata videot: How to get best quality video and audio in VLC media player. Tech Moron (Mai 2021).