昨天,在德國政府 CERT 發出警報後,這一消息在網路上瘋傳:這家著名的媒體播放器將成為嚴重安全漏洞的受害者。開發 VLC 的 VideoLAN 解釋說這是錯誤的。
我們的歉意:像我們的許多同事一樣,我們昨天發表了一篇文章,標題為「VLC 中發現的一個嚴重缺陷」。但是……事實並非如此。在幾分鐘前發布的一系列推文中,VideoLAN 嚴厲批評了一系列導致德國政府網路攻擊回應中心 CERT-Bund 發布安全警報的事件« 批評 »對抗流行的媒體播放器。
https://twitter.com/videolan/status/1153963312981389312
「總而言之,VLC 並不容易受到攻擊。這個問題來自名為 libebml 的第三方函式庫,並於 16 個月前修復。自 3.0.3 版起的 VLC 使用該程式庫的正確版本。
該協會隨後詳細介紹了事件:一名安全研究人員報告了 VLC 追蹤工具中的此錯誤,該工具可在網路上公開存取。開發團隊無法重現該錯誤。但意識到該人正在使用舊版本的 Ubuntu……並且肯定是該庫的易受攻擊版本。
VideoLAN 將矛頭指向了 MITRE 公司,該公司在發現了研究人員關於 Videolan 追蹤工具的出版物後,選擇啟動警報,而沒有警告 VLC 開發人員。該警報隨後被 CERT-Bund 處理。我們轉發的正是這個警報。
「MITRE 會以與微軟或其他大公司相同的方式行事嗎?不,我們只是一個小型非營利組織,無法支付全職員工的薪水。 »在 Twitter 上進一步解釋了該協會。
原文發表於 07/23/2018
德國政府的網路攻擊回應中心 CERT-Bund 在 VLC 中偵測到一個安全漏洞。值得稱讚的是,VLC 的下載量已達 30 億次,它可不是一個只在自己的角落生活的小程式…
這個安全漏洞——有著甜蜜的名字CVE-2019-13615– 被當局分類為 4 級,處於最大風險等級。它將允許惡意人員遠端執行程式碼,也可以從目標電腦中提取資料。然而,目前德國機構確認尚未收到利用該漏洞的案例報告。
來源 : CERT-Bund
