VLC多媒体播放器 (VLC Media Player)是许多人爱用的开放式跨平台媒体播放器,在全球累积下载次数超过 31 亿次,近日这款软件被德国的电脑应变中心发出警告指出内含可允许骇客远端攻击的未修补漏洞,使得众多使用者人心惶惶,官方出面澄清该指控实属乌龙,并强烈谴责管理 CVE 编号的 MITRE Corporation 作业疏失。
VLC 多媒体播放器 内含漏洞实属乌龙,官方表示:早已发放补丁
昨天,德国 CERT 的安全研究人员发出警告,其中指出 VLC 播放器中含有一个编号为 CVE-2019-13615 的堆积溢位安全漏洞,该漏洞将能允许骇客远端在使用者电脑上执行任意程式,将对桌面版造成影响,并波及最新的 3.0.7.1 版。在今天,VLC 播放器的开发者 VideoLAN 在其官方 Twitter 上严正澄清否认此事。
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) 24 de julio de 2019
VideoLAN 解释到,有漏洞的并非 VLC 播放器本身,而是在一个名为 libebml 的第三方函式库中,且该漏洞已经在 16 个月前进行修补,早在 3.0.3 版本中就已经彻底解决该问题,而管理 CVE 编号的 MITRE Corporation 在未向 VideoLAN 求证,且未与当事人联系的情况下就贸然颁发该漏洞编号,实属管理疏失。而 VideoLAN 也与发现该漏动的研究员联系后得知该名研究员所使用的系统为旧版 Ubunto 18.04,也因此在他的操作系统中并未更新到最新的函式库。
在受到抗议之后, MITRE Corporation 已经默默地在 CVE-2019-13615 的说明中更新,澄清该漏洞存在于 libebml 函式库。大约在 4 周前,VideoLAN 已经发放该问题的补丁,有使用该播放器的人别忘了随时保持在最新状态,有洞不补吃亏的还是自己。
◎资料来源:Softpedia
