Το VLC Media Player έχει ένα σημαντικό ελάττωμα ασφαλείας - αλλά όχι σε MacOS

Ενημέρωση: Το VideoLAN αρνήθηκε ότι το πρόγραμμα αναπαραγωγής πολυμέσων VLC έχει το αναφερόμενο πρόβλημα ασφαλείας. VideoLAN tweeted: «Το VLC δεν είναι ευάλωτο… το ζήτημα βρίσκεται σε μια βιβλιοθήκη τρίτων, που ονομάζεται libeml, η οποία επιδιορθώθηκε πριν από 16 μήνες. Το VLC από την έκδοση 3.0.3 έχει αποσταλεί η σωστή έκδοση ».

Ο πρόεδρος του VideoLAN και ο κύριος προγραμματιστής του προγράμματος αναπαραγωγής πολυμέσων VLC Jean-Baptiste Kempf παρείχαν αυτό το σχόλιο σε αξιόπιστες κριτικές: «Το πρόβλημα βρίσκεται σε διαφορετική βιβλιοθήκη και το πρόβλημα επιλύθηκε περισσότερο από 14 μήνες πριν. Όλες οι δυαδικές εκδόσεις του VLC που διανέμονται από το VideoLAN από το 3.0.3 είναι ασφαλείς για αυτό το ζήτημα ».

Ακολουθεί το αρχικό άρθρο

Το δημοφιλές πρόγραμμα αναπαραγωγής πολυμέσων VLC έχει ένα κρίσιμο ελάττωμα ασφαλείας και δεν έχει ακόμη διορθωθεί. Επί του παρόντος, επιδιορθώνεται από τη μητρική εταιρεία VideoLCAN της VLC. Εκδόθηκε συμβουλευτική ειδοποίηση ασφαλείας για την ευπάθεια από τη γερμανική υπηρεσία κυβερνοασφάλειας CERT-Bund.

Η τελευταία έκδοση του VLC media player (3.0.7.1) περιλαμβάνει επί του παρόντος ένα ελάττωμα ασφαλείας που θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο χάκερ για να εκτελέσετε κώδικα, να προκαλέσετε μια κατάσταση άρνησης υπηρεσίας, να διαγράψετε πληροφορίες και να χειριστείτε αρχεία στο μηχάνημα των χρηστών.

Σχετιζομαι με: Το καλύτερο δωρεάν antivirus

Σύμφωνα με ESET, το ελάττωμα της αλλοίωσης μνήμης μπορεί επίσης να υπάρχει σε παλαιότερη έκδοση του VLC media player. Το πρόβλημα επηρεάζει τους χρήστες του προγράμματος Windows, Linux και Unix - οι χρήστες MacOS έχουν αποφύγει το πρόβλημα.

Το σφάλμα δεν απαιτεί την αλληλεπίδραση του χρήστη ή την κλιμάκωση των προνομίων για εκμετάλλευση - καθιστώντας το ιδιαίτερα επικίνδυνο. Ευτυχώς, δεν έχουν ακόμη αναφερθεί περιπτώσεις αξιοποίησης της ευπάθειας ασφαλείας.

Εάν δεν υπάρχει ενημέρωση κώδικα, ο μόνος τρόπος για να αποφύγετε το πρόβλημα αυτή τη στιγμή είναι να αποφύγετε τη χρήση της συσκευής αναπαραγωγής πολυμέσων VLC.

Η ευπάθεια ασφαλείας αντιμετωπίζεται εξαιρετικά σοβαρά. Η εθνική βάση δεδομένων ευπάθειας NIST (NVD) έχει δηλώσει ότι το ελάττωμα είναι κρίσιμο και κατατάσσεται στο 9,8 στα 10 στην κλίμακα Common Vulnerability Scoring (CVSS).

Σχετιζομαι με: Καλύτερα VPN

Το NVD είναι μια βάση δεδομένων ευπάθειας της κυβέρνησης των ΗΠΑ, ενώ το CVSS είναι ένα πρότυπο που χρησιμοποιείται για την παροχή αριθμητικής ένδειξης σοβαρότητας σφαλμάτων.

Το VideoLan δεν έχει ακόμη αποκαλύψει ημερομηνία για το πότε θα εφαρμοστεί μια ενημέρωση κώδικα. Ωστόσο, το ζήτημα αναφέρεται στην εταιρεία εντοπιστής σφαλμάτων ως κρίσιμη προτεραιότητα - με την καταχώριση να ανοίγει πριν από τέσσερις εβδομάδες και με ολοκλήρωση 60%.

Μια γερμανική έκδοση με το όνομα Heise online έχει αναφέρει ένα συγκεκριμένο αρχείο .mp4 ενδέχεται να απαιτείται για την εκμετάλλευση. Ωστόσο, οι ερευνητές ασφαλείας ή οι αρχικοί ερευνητές του σφάλματος CERT-Bund δεν επιβεβαίωσαν ότι αυτό ισχύει.