VLC Media Player har en stor sikkerhedsfejl - men ikke på MacOS

Opdatering: VideoLAN har nægtet sin VLC-medieafspiller har det rapporterede sikkerhedsproblem. VideoLAN tweeted: “VLC er ikke sårbar... problemet ligger i et tredjepartsbibliotek, kaldet libeml, som blev rettet for mere end 16 måneder siden. VLC siden version 3.0.3 har den korrekte version afsendt ”.

VideoLAN-præsident og hovedudvikler af VLC-medieafspiller Jean-Baptiste Kempf leverede denne kommentar til pålidelige anmeldelser: “Problemet er i et andet bibliotek, og problemet blev løst mere end 14 måneder siden. Alle binære versioner af VLC distribueret af VideoLAN siden 3.0.3 er sikre for dette problem ”.

Den originale artikel følger

Den populære VLC medieafspiller har en kritisk sikkerhedsfejl, og den er endnu ikke opdateret. Der repareres i øjeblikket en løsning af VLCs moderselskab VideoLAN. Der blev udsendt en sikkerhedsrådgivningsalarm for sårbarheden af ​​det tyske cybersikkerhedsbureau CERT-Bund.

Den seneste version af VLC medieafspiller (3.0.7.1) indeholder i øjeblikket en sikkerhedsfejl, der kan muliggøre en fjernhacker at udføre kode, forårsage en denial-of-service-tilstand, exfiltrere oplysninger og manipulere filer på en brugers maskine.

Relaterede: Bedste gratis antivirus

Ifølge ESET, kan hukommelseskorruptionsfejlen også være til stede i tidligere version af VLC-medieafspilleren. Problemet påvirker Windows-, Linux- og Unix-brugere af programmet - MacOS-brugere har undgået problemet.

Fejlen kræver ikke interaktion fra brugeren eller eskalering af privilegier, der skal udnyttes - hvilket gør den særlig farlig. Heldigvis er der endnu ingen rapporterede tilfælde om, at sikkerhedssårbarheden udnyttes.

I mangel af et program er den eneste måde at undgå problemet i øjeblikket på at undgå at bruge VLC medieafspiller.

Sikkerhedssårbarheden ses ekstremt seriøst. NIST National Vulnerability Database (NVD) har erklæret, at fejlen er kritisk og er rangeret som en 9,8 ud af 10 på Common Vulnerability Scoring (CVSS) -skalaen.

Relaterede: Bedste VPN'er

NVD er en amerikansk sårbarhedsdatabase, mens CVSS er en standard, der bruges til at give en numerisk indikation af bugens sværhedsgrad.

VideoLan har endnu ikke afsløret en dato for, hvornår en patch skal implementeres. Emissionen er dog opført på virksomhedens bug tracker som en kritisk prioritet - med noteringen åbnet for fire uger siden og ved 60% færdiggørelse.

En tysk publikation navngivet Heise Online har rapporteret, at der muligvis kræves specifikke .mp4-filer for at udnyttelsen skal forekomme. Sikkerhedsforskere eller originale opdagere af bug CERT-Bund har imidlertid ikke bekræftet, at dette er tilfældet.