VLC Media Player har en stor säkerhetsfel - men inte på MacOS

Uppdatering: VideoLAN har nekat sin VLC-mediaspelare har rapporterat säkerhetsproblem. VideoLAN twittrade: “VLC är inte sårbart... problemet finns i ett tredjepartsbibliotek, kallat libeml, som fixades för mer än 16 månader sedan. VLC eftersom version 3.0.3 har rätt version levererad ”.

VideoLAN-president och ledande utvecklare av VLC-mediaspelaren Jean-Baptiste Kempf gav denna kommentar till betrodda recensioner: ”Problemet finns i ett annat bibliotek och frågan fixades mer än 14 månader sedan. Alla binära versioner av VLC distribuerade av VideoLAN sedan 3.0.3 är säkra för detta problem ”.

Originalartikeln följer

Den populära VLC-mediaspelaren har en kritisk säkerhetsfel och den har ännu inte korrigerats. En fix bearbetas för närvarande av VLCs moderbolag VideoLAN. En säkerhetsrådgivningsvarning utfärdades för sårbarheten av den tyska cybersäkerhetsbyrån CERT-Bund.

Den senaste versionen av VLC mediaspelare (3.0.7.1) innehåller för närvarande en säkerhetsfel som kan tillåta en fjärrhacker att köra kod, orsaka ett förnekande av tjänst, exfiltrera information och manipulera filer på en användares maskin.

Relaterad: Bästa gratis antivirusprogrammet

Enligt ESETkan minneskorruptionsfelet också finnas i tidigare version av VLC-mediaspelaren. Problemet påverkar Windows-, Linux- och Unix-användare av programmet - MacOS-användare har undvikit problemet.

Buggen kräver inte att användaren interagerar eller att de privilegier som tas ut utnyttjas - vilket gör det särskilt farligt. Tack och lov finns det ännu inga rapporterade fall där säkerhetssårbarheten utnyttjas.

I avsaknad av en patch är det enda sättet att undvika problemet just nu att undvika att använda VLC-mediaspelaren.

Säkerhetsproblemet ses extremt på allvar. NIST National Vulnerability Database (NVD) har förklarat att bristen är kritisk och rankas som 9,8 av 10 på Common Vulnerability Scoring (CVSS) -skalan.

Relaterad: Bästa VPN

NVD är en amerikansk regerings sårbarhetsdatabas medan CVSS är en standard som används för att ge en numerisk indikation på felens allvarlighetsgrad.

VideoLan har ännu inte avslöjat ett datum för när en patch kommer att implementeras. Emissionen är dock noterad på företagets felsökare som en kritisk prioritering - med noteringen som öppnades för fyra veckor sedan och med 60% slutförd.

En tysk publikation med namnet Heise Online har rapporterat att en specifik .mp4-fil kan krävas för att exploateringen ska ske. Säkerhetsforskare eller ursprungliga upptäckter av felet CERT-Bund har dock inte bekräftat att detta är fallet.