يشتمل برنامج VLC Media Player على عيب أمني كبير - ولكن ليس على نظام MacOS

تحديث: أنكر VideoLAN أن مشغل وسائط VLC لديه مشكلة أمنية تم الإبلاغ عنها. فيدولان غرد: "VLC ليست ضعيفة... المشكلة موجودة في مكتبة تابعة لجهة خارجية ، تسمى libeml ، والتي تم إصلاحها منذ أكثر من 16 شهرًا. تم شحن الإصدار الصحيح من VLC منذ الإصدار 3.0.3 ”.

قدم رئيس VideoLAN والمطور الرئيسي لمشغل وسائط VLC Jean-Baptiste Kempf هذا التعليق إلى "المراجعات الموثوقة": "المشكلة في مكتبة مختلفة ، وتم إصلاح المشكلة لأكثر من 14 شهرًا منذ. جميع إصدارات VLC التي وزعتها VideoLAN منذ 3.0.3 آمنة لهذه المشكلة ".

المقال الأصلي يتبع

يشتمل مشغل وسائط VLC الشهير على عيب أمني خطير ولم يتم تصحيحه بعد. تعمل شركة VideoLAN الأم لشركة VLC حاليًا على إصلاح. تم إصدار تنبيه استشاري أمني للثغرة الأمنية من قبل وكالة الأمن السيبراني الألمانية CERT-Bund.

يشتمل أحدث إصدار من مشغل وسائط VLC (3.0.7.1) حاليًا على ثغرة أمنية قد تسمح للمتسلل عن بُعد لتنفيذ التعليمات البرمجية ، والتسبب في حالة رفض الخدمة ، واستخراج المعلومات ومعالجة الملفات الموجودة على جهاز المستخدمين.

متعلق ب: أفضل مضاد فيروسات مجاني

بالنسبة الى إسيت، قد يكون عيب تلف الذاكرة موجودًا أيضًا في الإصدار السابق من مشغل وسائط VLC. تؤثر المشكلة على مستخدمي Windows و Linux و Unix للبرنامج - لقد تجنب مستخدمو MacOS المشكلة.

لا يتطلب الخطأ تفاعل المستخدم أو تصعيد الامتيازات ليتم استغلاله - مما يجعله خطيرًا بشكل خاص. لحسن الحظ ، لم يتم الإبلاغ عن أي حالات للثغرة الأمنية التي يتم استغلالها.

في حالة عدم وجود تصحيح ، فإن الطريقة الوحيدة لتجنب المشكلة في الوقت الحالي هي تجنب استخدام مشغل وسائط VLC.

يتم عرض الثغرة الأمنية على محمل الجد. أعلنت قاعدة بيانات NIST الوطنية للثغرات الأمنية (NVD) أن الخلل أمر بالغ الأهمية وتم تصنيفها في المرتبة 9.8 من 10 على مقياس نقاط الضعف المشتركة (CVSS).

متعلق ب: أفضل شبكات VPN

NVD هي قاعدة بيانات للثغرات الأمنية الحكومية الأمريكية بينما CVSS هو معيار يستخدم لتوفير مؤشر رقمي لخطورة الخطأ.

VideoLan لم يكشف بعد عن موعد تنفيذ التصحيح. ومع ذلك ، يتم سرد المشكلة في الشركة تعقب علة كأولوية حاسمة - مع فتح القائمة قبل أربعة أسابيع وبنسبة 60٪.

منشور ألماني اسمه هايس اون لاين أبلغ عن ملفات .mp4 محددة قد تكون مطلوبة لحدوث الاستغلال. ومع ذلك ، لم يؤكد الباحثون الأمنيون أو المكتشفون الأصليون للخلل CERT-Bund أن هذا هو الحال.