ל- VLC Player יש פגם אבטחה גדול - אך לא ב- MacOS
עדכון: VideoLAN הכחישה כי נגן המדיה שלה ב- VLC סובל מבעיית האבטחה המדווחת. VideoLAN צייץ: “VLC אינו פגיע... הבעיה נמצאת בספריה של צד שלישי, שנקראת libeml, שתוקנה לפני יותר מ- 16 חודשים. VLC מאז גרסת 3.0.3 נשלחה הגרסה הנכונה ”.
נשיא VideoLAN והמפתח הראשי של נגן המדיה VLC ז'אן בפטיסט קמפף סיפק תגובה זו לביקורות מהימנות: "הגיליון נמצא בספריה אחרת והנושא תוקן יותר מ -14 חודשים לִפנֵי. כל גרסת ה- VLC הבינארית המופצת על ידי VideoLAN מאז 3.0.3 בטוחה לבעיה זו.
המאמר המקורי הבא
לנגן המדיה הפופולרי VLC יש פגם אבטחה קריטי והוא עדיין לא תוקן. בימים אלה עובדים על תיקון על ידי חברת האם VLC VideoLAN. התראת ייעוץ ביטחונית הונפקה על ידי הפגיעות על ידי סוכנות אבטחת הסייבר הגרמנית CERT-Bund.
הגרסה האחרונה של נגן המדיה VLC (3.0.7.1) כוללת כרגע פגם אבטחה שיכול לאפשר להאקר מרוחק לבצע קוד, לגרום למצב של מניעת שירות, לסנן מידע ולתפעל קבצים במחשב של משתמשים.
קָשׁוּר: האנטי-וירוס החינמי הטוב ביותר
לפי ESET, פגם בשחיתות הזיכרון עשוי להיות קיים גם בגרסה קודמת של נגן המדיה VLC. הבעיה משפיעה על משתמשי Windows, Linux ו- Unix של התוכנית - משתמשי MacOS התחמקו מהנושא.
הבאג אינו דורש ניצול אינטראקציה על ידי המשתמש או העלמת הרשאות - מה שהופך אותו למסוכן במיוחד. למרבה המזל, עדיין לא דווח על מקרים של ניצול הפגיעות הביטחונית.
בהיעדר תיקון, הדרך היחידה להימנע מהבעיה כרגע היא הימנעות משימוש בנגן המדיה VLC.
הפגיעות הביטחונית נתפסת ברצינות רבה. מאגר הנתונים של הפגיעות הלאומית של NIST (NVD) הצהיר כי הפגם הוא קריטי ומדורג במקום 9.8 מתוך 10 בסולם ציון הפגיעות המשותף (CVSS).
קָשׁוּר: שירותי ה- VPN הטובים ביותר
ה- NVD הוא מאגר פגיעות ממשלתי בארה"ב ואילו CVSS הוא תקן המשמש לספק אינדיקציה מספרית על חומרת הבאגים.
VideoLan עדיין לא חושף תאריך מתי ייושם תיקון. עם זאת, ההנפקה רשומה על החברה מעקב אחר באגים כעדיפות קריטית - כאשר הרישום נפתח לפני ארבעה שבועות ועם השלמת 60%.
פרסום גרמני בשם הייז און ליין דיווח שקבצי .mp4 ספציפיים עשויים להידרש כדי לנצל. עם זאת, חוקרי אבטחה או מגלים מקוריים של הבאג CERT-Bund לא אישרו שזה המקרה.