VideoLAN 反擊:VLC 遠程代碼執行漏洞早就修復了!

←手機掃碼閱讀     admin @ 2019-07-25 , reply:0

之前我們報導過最新版本 VLC 媒體播放器被曝出存在嚴重的遠程代碼執行漏洞,根據德國網路安全機構 CERT-Bund 披露的消息,該漏洞同時存在於 Windows、Linux 與 Unix 系統中,使得遠程匿名攻擊者可以執行任意代碼、造成 DoS 條件,並且提取用戶信息或操作文件。漏洞已被收錄為 CVE-2019-13615,危險分值在滿分 10 分制中達到了 9.8。

VLC bug bounty vulnerability

24 日 VLC 項目背後的公司 VideoLAN 發推文表示這個安全問題沒有外界所說那麼嚴重,而且這個漏洞其實是存在於第三方庫上的。

問題發生在名為 libebml 的第三方庫中,並且已經在 16 個月前修復,VLC 3.0.3 版本已經修復了該問題。

VideoLAN 同時指責了最初「惡意」公開該漏洞的 @MITREcorp,VideoLAN 稱其使用的是 Ubuntu 18.04 操作系統,這是一個舊版本,並且顯然沒有更新所有庫。

而不知出於什麼原因,@MITREcorp 在決定提交這個 CVE 的時候,並沒有先告知 VideoLAN,這直接違反了他們自己的政策。甚至「這其實不是 @MITREcorp 第一次這樣做,事實上,當他們在 VLC 上發現安全問題時,他們永遠不會聯繫我們,而且我們總是在他們公開之後,當用戶或分銷商詢問我們時才發現問題。」

目前在 NVD 中,VLC 這個漏洞已經從 9.8 分降級到 5.5,VideoLAN 的公共 bug 跟蹤器中的相關條目也將問題標為已修復。





[admin ]

來源:OsChina
連結:https://www.oschina.net/news/108514/vlc-security-flaw-is-fixed
VideoLAN 反擊:VLC 遠程代碼執行漏洞早就修復了!已經有45次圍觀

http://coctec.com/news/soft/show-post-210759.html