Começaram a surgir relatórios na Internet sobre uma vulnerabilidade crítica de segurança no popular reprodutor multimídia VLC Media Player.
Atualização : O VideoLAN confirmou que o problema não era um problema de segurança no VLC Media Player. Os engenheiros detectaram que o problema foi causado por uma versão mais antiga da biblioteca de terceiros chamada libebml, incluída nas versões mais antigas do Ubuntu. O pesquisador usou essa versão mais antiga do Ubuntu aparentemente. Fim
Sam Rutherford, do Gizmodo, sugeriu que os usuários desinstalassem o VLC imediatamente e o teor de outras revistas e sites de tecnologia era idêntico em sua maior parte. Manchetes e histórias sensacionalistas geram muitas visualizações de página e cliques, e essa é provavelmente a principal razão pela qual os sites gostam de usá-las em vez de se concentrar em manchetes e artigos que não são tão sensacionalistas.
O relatório de bug, arquivado em CVE-2019-13615, classifica o problema como crítico e afirma que afeta o VLC Media Player 3.0.7.1 e versões anteriores do media player.
Todas as versões de desktop do VLC Media Player, disponíveis para Windows, Linux e Mac OS X, são afetadas pelo problema de acordo com a descrição. Um invasor pode executar o código remotamente nos dispositivos afetados se a vulnerabilidade for explorada com êxito, de acordo com o relatório de erros.
A descrição do problema é técnica, mas fornece informações valiosas sobre a vulnerabilidade, no entanto:
O VideoLAN VLC media player 3.0.7.1 possui uma leitura excedente do buffer baseado em heap em mkv :: demux_sys_t :: FreeUnused () nos módulos / demux / mkv / demux.cpp quando chamado a partir de mkv :: Abra em modules / demux / mkv / mkv.cpp.
A vulnerabilidade só pode ser explorada se os usuários abrirem arquivos especificamente preparados usando o VLC Media Player. Um arquivo de mídia de amostra que usa o formato mp4 é anexado à lista de faixas de erros que parece confirmar isso.
Os engenheiros da VLC têm dificuldade em reproduzir o problema que foi arquivado no site oficial de rastreamento de bugs há quatro semanas.
O líder do projeto, Jean-Baptiste Kempf, postou ontem que não conseguiu reproduzir o bug, pois não travou o VLC. Outros, como Rafael Rivera, também não conseguiram reproduzir o problema em várias versões do VLC Media Player.
A VideoLAN foi ao Twitter envergonhar as organizações relatoras MITRE e CVE.
Hey @MITREcorp e @CVEnew, o fato de você NUNCA entrar em contato conosco para obter vulnerabilidades do VLC por anos antes de publicar não é realmente legal; mas pelo menos você pode verificar suas informações ou verificar a si mesmo antes de enviar publicamente a vulnerabilidade 9.8 CVSS ...
Ah, aliás, isso não é uma vulnerabilidade do VLC ...
As organizações não informaram o VideoLAN sobre a vulnerabilidade avançada, de acordo com a publicação do VideoLAN no Twitter.
O que os usuários do VLC Media Player podem fazer
Os problemas que engenheiros e pesquisadores têm para replicar o problema tornam o assunto bastante intrigante para os usuários do media player. O VLC Media Player é seguro para uso nesse meio tempo, porque o problema não é tão grave quanto o sugerido inicialmente ou não é uma vulnerabilidade?
Pode demorar um pouco até que as coisas se resolvam. Enquanto isso, os usuários podem usar um media player diferente ou confiar na avaliação da VideoLAN sobre o problema. É sempre bom ter cuidado quando se trata de execução de arquivos em sistemas, especialmente quando eles vêm da Internet e de fontes que não são 100% confiáveis.
Agora você : Qual a sua opinião sobre a questão toda? (via Deskmodder)
