في الأسبوع الماضي (
الأخبار ) ، نوقشت مشكلة عدم الحصانة الخطيرة على نطاق واسع في مشغل الوسائط VLC الشهير. تمت إضافة معلومات حول المشكلة إلى سجل
CERT Bund الألمانية
وقاعدة بيانات الضعف الوطنية الأمريكية. في البداية ، حصلت ثغرة CVE-2019-13615 على تصنيف 9.8 ، أي أنه تم تصنيفه على أنه الأكثر خطورة.
المشكلة بسبب خطأ قراءة خارج حدود المخزن المؤقت في كومة الذاكرة المؤقتة التي قد تحدث عند تشغيل الفيديو. إذا تم شرحه بعبارات أكثر إنسانية ، يمكنك إرسال ملف mkv المعد إلى الضحية والتحكم في النظام من خلال تنفيذ التعليمات البرمجية التعسفية. هذا الخبر هو سبب وجيه للحديث عن المشاكل في البرنامج ، والتي ، على ما يبدو ، لا تشكل مخاطر خطيرة على جهاز الكمبيوتر الخاص بك. ولكن ليس هذه المرة: على ما يبدو ، ارتكب الباحث الذي أبلغ عن الثغرة الخطأ وأرجع أحدث إصدار من VLC إلى مشكلة كانت موجودة حصريًا في توزيع Linux الخاص به. لذلك ، يخصص منشور اليوم لسوء الفهم والعناوين المثيرة.
بدأ كل شيء قبل خمسة أسابيع مع
هذه التذكرة في تعقب أخطاء VLC. قام المستخدم topsec (zhangwy) دون مزيد من الوصف بتحميل ملف .mp4 ، مما يتسبب في تعطل اللاعب. هناك ، تكمن هذه الرسالة دون الانتباه لفترة من الوقت ، في حين أن المعلومات حول مشكلة عدم الحصانة بطريقة أو بأخرى (لا أحد يعرف أي منها) دخلت في قواعد بيانات NIST NVD و CERT Bund. بعد ذلك ، نظر المطورون إلى تقرير الأخطاء - ولم يتمكنوا من إعادة إنتاج الهجوم على أحدث إصدار من مشغل الوسائط.
في هذه الأثناء ، كتبت وسائل الإعلام عن الثغرة الأمنية في إشارة إلى CERT Bund ،
ولم يخجل أحد من العناوين الرئيسية
هناك . إزالة VLC الآن! ثغرة فظيعة لا يوجد فيها تصحيح!
كل شيء سيء للغاية ! بشكل عام ، عادةً ما يتم الوثوق بالمؤسسات الكبيرة التي تحتفظ بسجل للثغرات الأمنية في البرامج. ولكن في هذه الحالة ، تم كسر العملية العادية للكشف عن مشكلة وإيجاد حل لها.
ما الخطأ الذي حدث بالضبط ، قال مطورو VideoLan في سلسلة من التغريدات في الحساب الرسمي (نوصيك بقراءة السلسلة بالكامل ، وكان المطورون غاضبين جدًا ولم يحرجوا أنفسهم في التعبيرات). بادئ ذي بدء ،
يطلب VLC بشكل عاجل
من الباحثين عدم الإبلاغ عن نقاط الضعف للمتتبع العام. لأسباب واضحة: إذا تم اكتشاف مشكلة خطيرة حقًا ، يجب أن يتوفر للمطورين الوقت لإصلاحها. وصل تقرير علة مستخدم topsec الأولي إلى الجزء العام من المتعقب.
ثانياً ، لم يتصل بادئ تقرير الإبلاغ عندما حاولوا توضيح التفاصيل معه. ثالثًا ، أضافت جهات صيانة قاعدة NIST NVD معلومات الثغرات وتعيين درجة شبه قريبة من الخطر دون استشارة مطوري VLC. فعل CERT Bund نفس الشيء ، وبعد ذلك التقطت وسائل الإعلام الموضوع.
كان هناك ضعف؟ لقد كان! في مكتبة
libebml ، التي تعد جزءًا من مشروع
Matroska.org مفتوح المصدر. يصل VLC إلى هذه المكتبة عند تحليل ملفات MKV ، ولكن تم إغلاق الثغرات الأمنية المستخدمة في استغلال الإصدار 1.3.6 في أبريل 2018. بدءًا من الإصدار 3.0.3 ، يستخدم VLC نفسه مكتبة محدثة. استغرق الأمر مزيجًا نادرًا جدًا من نظام Ubuntu القديم نسبياً والذي لم يتم تحديثه على ما يبدو مع مكتبة libebml القديمة والمشغل الجديد لتنفيذ الهجوم. من الواضح أن مثل هذا التكوين غير مرجح للمستخدمين العاديين ، ولا علاقة لـ VLC بأي حال من الأحوال - لأكثر من عام الآن.
تبدو الرسالة الأخيرة من مؤلف تقرير الخطأ الأصلي كما يلي: "أنت آسف ، إذا كان ذلك". ولكن تم إغلاق الثغرة الحقيقية مع خصائص مماثلة في الإصدار
الفعلي VLC 3.0.7 في وقت نشر الملخص. تم تضمينه أيضًا في المكتبة المفتوحة التي تستخدمها VLC ، وأدى إلى تنفيذ تعليمات برمجية عشوائية عند فتح الملف المعد. تم اكتشافه بفضل
مبادرة الاتحاد الأوروبي لمكافأة نقاط الضعف في المشاريع المفتوحة المصدر (والتي تستخدمها الهيئات الحكومية). بالإضافة إلى VLC ، تم تضمين Notepad ++ و Putty و FileZilla في قائمة البرامج.
بشكل عام ، الأمن هو أكثر من عملية أكثر من نتيجة. لا يتم تحديد جودة هذه العملية من خلال العناوين البارزة في الوسائط ، ولكن في حالة الكمبيوتر الشخصي الخاص بك ، من خلال تحديثات البرامج العادية على الأقل. يمكن أن تكون المشاكل في أي مكان ، وحقيقة أن مشكلة عدم حصانة VLC قد أصبحت وهمية لا تلغي الحاجة إلى تحديث البرامج باستمرار. حتى تلك التي يبدو أنها تعمل من هذا القبيل ولا ينظر إليها على أنها خطيرة. وتشمل هذه ، على سبيل المثال ، أرشيف WinRAR ، حيث
تم العثور على
ثغرة أمنية قديمة للغاية قبل بضعة أشهر. كما أن تعطيل تذكيرات تحديث VLC لا يستحق كل هذا العناء ، على الرغم من أن الكثير منهم لا يفعلون ذلك. أظهرت دراسة حديثة العهد لأفاست في شهر يناير من هذا العام أن 6٪ فقط من المستخدمين قاموا بتثبيت الإصدار الحالي من VLC في ذلك الوقت.
لا يحب مطورو VLC ، من حيث المبدأ ، الممارسة عندما يتم تعيين الحد الأقصى لمخاطر أي ثغرات في تنفيذ التعليمات البرمجية التعسفية. في معظم الحالات ، يكون التشغيل الفعلي لمثل هذه الفتحة أمرًا صعبًا: من الضروري أن يرسل الضحية الملف اللازم (أو رابط إلى الفيديو المتدفق) ، وإجباره على الفتح ، ولا يسبب تعطل البرنامج فحسب ، بل يؤدي إلى تنفيذ التعليمات البرمجية ، وحتى مع الامتيازات الضرورية التي ليست حقيقة أن يمكن الحصول عليها. هذه نسخة نظرية مثيرة للهجوم المستهدف ، لكن من غير المحتمل حتى الآن.
إخلاء المسئولية: الآراء الواردة في هذا الملخص قد لا تتوافق مع الموقف الرسمي لـ Kaspersky Lab. عزيزي المحررين يوصون عمومًا بمعالجة أي آراء بتشكك صحي.