上周(
新闻 ),一个流行的VLC媒体播放器广泛讨论了一个严重漏洞。 有关此问题的信息已添加到德国
CERT外滩和美国
国家漏洞数据库的注册表中。 最初,CVE-2019-13615漏洞的等级为9.8,即它被列为最危险的等级。
问题是由于播放视频时可能发生的超出堆中缓冲区边界的读取错误。 如果以更人性化的方式进行说明,则可以将准备好的.mkv文件发送给受害者,并通过执行任意代码来获得对系统的控制。 这个消息是讨论软件问题的好理由,看来这对您的计算机没有构成严重的风险。 但是这次不是:显然,报告该漏洞的研究人员犯了一个错误,并将最新版本的VLC归因于他的Linux发行版中独有的问题。 因此,今天的帖子专门讨论误解和耸人听闻的标题。
这一切始于五周前,在VLC错误跟踪器中有了
这张票 。 没有进一步说明的用户topsec(zhangwy)上传了.mp4文件,这导致播放器崩溃。 在那里,此消息暂时没有引起注意,而有关该漏洞的信息以某种方式(没人知道哪个)进入了NIST NVD和CERT Bund数据库。 之后,开发人员查看了错误报告-无法在最新版本的媒体播放器上重现攻击。
同时,媒体参考CERT外滩报道了该漏洞,
没有人对
那里的头条
感到害羞 。 立即删除VLC! 没有补丁的可怕漏洞!
一切都非常糟糕 ! 通常,维护软件漏洞注册表的大型组织通常是受信任的。 但是在这种情况下,检测问题并找到解决方案的正常过程被破坏了。
到底出了什么问题,VideoLan开发人员在官方帐户中发布了一系列推文(我们建议您阅读整个
主题 ,开发人员非常生气,不要在表达式中感到尴尬)。 首先,VLC紧急
要求研究人员不要将漏洞报告给公共跟踪器。 出于明显的原因:如果发现了一个非常严重的问题,开发人员应该有时间修复它。 最初的topsec用户错误报告进入了跟踪器的公开部分。
其次,错误报告的发起者在试图与他澄清细节时没有联系。 第三,NIST NVD基本维护人员添加了漏洞信息并指定了接近最大的危险等级,而无需咨询VLC开发人员。 CERT外滩也采取了同样的行动,之后媒体开始讨论这个话题。
有漏洞吗? 是啊 在
libebml库中,该库是开源项目
Matroska.org的一部分 。 VLC在解析MKV文件时会访问此库,但漏洞利用中的漏洞已于2018年4月的1.3.6版中关闭。 从3.0.3版开始,VLC本身使用更新的库。 相对较旧且显然未更新的Ubuntu系统与旧的libebml库和新的播放器采用了非常罕见的组合来实施攻击。 显然,这样的配置对于普通用户而言不太可能,而且VLC与它无关-现在已经一年多了。
来自原始错误报告作者的最后一条消息是这样的:“如果您感到抱歉,那么”。 但是,在发布摘要时,具有类似属性的实际漏洞在
实际版本VLC 3.0.7中已关闭。 它也包含在VLC使用的开放库中,并在打开准备好的文件时导致执行任意代码。 它的发现归功于欧盟对奖励流行(并由政府机构使用)开源项目中的漏洞的
倡议 。 除了VLC,Notepad ++,Putty和FileZilla也包括在软件列表中。
通常,安全性更多的是过程而不是结果。 此过程的质量并不取决于媒体上的知名度,而取决于您的个人计算机,至少取决于常规软件更新。 问题无处不在,而且事实证明VLC漏洞是伪造的,并不能消除对程序进行不断更新的需要。 即使那些看起来像那样工作并且不被视为危险的产品。 例如,其中包括WinRAR存档器,几个月前在其中发现了一个非常古老的
严重漏洞 。 禁用VLC更新提醒也是不值得的,尽管很多。 今年1月,Avast的一项相对较新的研究
表明 ,当时只有6%的用户安装了当前版本的VLC。
原则上,当将执行任意代码的任何漏洞分配给最大危险等级时,VLC开发人员不喜欢这种做法。 在大多数情况下,这样的漏洞的实际操作很困难:受害人有必要发送必要的文件(或指向流视频的链接),并强迫其打开,这不仅会导致程序崩溃,还会导致代码执行,甚至具有必要的特权,事实并非如此。可以得到。 这是定向攻击的一个有趣的理论版本,但到目前为止还不太可能。
免责声明:本摘要中表达的观点可能与卡巴斯基实验室的官方立场不符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。