Laporan mulai muncul di Internet tentang kerentanan keamanan kritis pada pemutar multimedia populer VLC Media Player.
Pembaruan : VideoLAN mengonfirmasi bahwa masalah itu bukan masalah keamanan di VLC Media Player. Para insinyur mendeteksi bahwa masalah ini disebabkan oleh versi lama dari perpustakaan pihak ketiga yang disebut libebml yang termasuk dalam versi Ubuntu yang lebih lama. Peneliti menggunakan Ubuntu versi lama itu rupanya. Akhir
Sam Rutherford dari Gizmodo menyarankan agar pengguna segera mencopot pemasangan VLC dan tenor majalah dan situs teknologi lainnya hampir sama. Tajuk dan berita sensasional menghasilkan banyak tayangan laman dan klik, dan itu kemungkinan merupakan alasan utama mengapa situs lebih suka memanfaatkannya daripada berfokus pada tajuk dan artikel yang tidak sensasional.
Laporan bug, diajukan di bawah CVE-2019-13615, menilai masalah ini kritis dan menyatakan bahwa itu memengaruhi VLC Media Player 3.0.7.1 dan versi sebelumnya dari pemutar media.
Semua versi desktop VLC Media Player, tersedia untuk Windows, Linux dan Mac OS X, dipengaruhi oleh masalah sesuai dengan deskripsi. Seorang penyerang bisa mengeksekusi kode dari jarak jauh pada perangkat yang terpengaruh jika kerentanan berhasil dieksploitasi sesuai dengan laporan bug.
Deskripsi masalah ini bersifat teknis, namun demikian memberikan informasi berharga tentang kerentanan:
VideoLAN VLC media player 3.0.7.1 memiliki buffer over-read berbasis heap di mkv :: demux_sys_t :: FreeUnused () dalam modul / demux / mkv / demux.cpp ketika dipanggil dari mkv :: Buka di modul / demux / mkv / mkv.cpp.
Kerentanan hanya dapat dieksploitasi jika pengguna membuka file yang disiapkan khusus menggunakan VLC Media Player. Contoh file media yang menggunakan format mp4 dilampirkan ke daftar trek bug yang muncul untuk mengkonfirmasi ini.
Insinyur VLC mengalami kesulitan dalam mereproduksi masalah yang diajukan di situs pelacakan bug resmi empat minggu lalu.
Pemimpin proyek Jean-Baptiste Kempf memposting kemarin bahwa dia tidak dapat mereproduksi bug karena tidak menabrak VLC sama sekali. Lainnya, misalnya Rafael Rivera, tidak dapat mereproduksi masalah pada beberapa VLC Media Player membangun juga.
VideoLAN pergi ke Twitter untuk mempermalukan organisasi pelaporan MITER dan CVE.
Hai @MITREcorp dan @CVEbaru, fakta bahwa Anda TIDAK PERNAH menghubungi kami untuk kerentanan VLC selama bertahun-tahun sebelum penerbitan benar-benar tidak keren; tetapi setidaknya Anda bisa memeriksa info Anda atau memeriksa diri Anda sebelum mengirim 9, 8 kerentanan CVSS ke publik ...
Oh, btw, ini bukan kerentanan VLC ...
Organisasi tidak memberi tahu VideoLAN tentang kerentanan dalam lanjutan menurut pos VideoLAN di Twitter.
Apa yang dapat dilakukan pengguna VLC Media Player
Masalah yang harus ditiru oleh para insinyur dan peneliti adalah masalah yang membingungkan bagi pengguna media player. Apakah VLC Media Player aman untuk digunakan sementara itu karena masalahnya tidak separah yang awalnya disarankan atau tidak kerentanan sama sekali?
Mungkin perlu beberapa saat sebelum semuanya beres. Pengguna dapat menggunakan pemutar media yang berbeda untuk sementara waktu atau mempercayai penilaian VideoLAN tentang masalah ini. Itu selalu merupakan ide yang baik untuk berhati-hati ketika melakukan eksekusi file pada sistem, terutama ketika mereka datang dari Internet dan dari sana dari sumber yang tidak dapat dipercaya 100%.
Sekarang Anda : Apa pendapat Anda tentang seluruh masalah? (melalui Deskmodder)
