מֵידָע

VLC חולק על טענת פגם אבטחה 'קריטי' כי האקרים יכולים לגשת לקבצים שלך

VLC חולק על טענת פגם אבטחה 'קריטי' כי האקרים יכולים לגשת לקבצים שלך

VLC הוא אחד מנגני הווידיאו הפופולאריים בעולם, לא מעט בזכות המבנה החופשי של קוד פתוח.

למרבה הצער, דיווחים מצביעים על כך שאופיו של קוד פתוח עשויים גם להפוך אותו לפגיע בפני האקרים. ליקוי אבטחה, שהתגלה על ידי סוכנות האבטחה הגרמנית CERT-Bund, פירושו שהאקרים יכולים לקבל גישה לקבצים שלך באמצעות נגן המדיה.

לפני שמוחקים את ה- VLC, כדאי אולי לשמוע את נציגי נגן הווידיאו: הם אומרים שהכל "חדשות מזויפות".

קשורים: ציד מחשבה: האם המוח שלך יכול להיות יעד עבור האקרים?

פגם 'קריטי' לכאורה

כפי שדיווח Gizmodo, סוכנות האבטחה הגרמנית CERT-Bund גילתה פגם חמור מאוד (באמצעות WinFuture) ב- VLC (המופיע כ- CVE-2019-13615). הפגם קיבל ציון פגיעות בסיסי של 9.8, המסווג אותו כ"קריטי ". Gizmodo ממליץ למחוק את VLC "עד שהאנשים בפרויקט VideoLAN יוכלו לתקן את הפגם."

הפגיעות מאפשרת לכאורה RCE (ביצוע קוד מרחוק). פגם מסוג זה יכול לאפשר להאקרים להתקין, לשנות או להריץ תוכנה במחשב המשתמש ללא הרשאה. זה יכול לשמש גם כדי למצוא ולעיין בקבצי המחשב.

Gizmodo מדווח כי כל הגרסאות של Windows, Linux ו- Unix של VLC מושפעות, אך לא על גרסת ה- MacOS. אם נכון, מדובר בכמות עצומה של משתמשים פגיעים.

עם זאת, דיווחים חדשים מציעים שזה 'אם' גדול.

חדשות אבטחת סייבר מזויפות?

לפי Lifehacker, דיווח הבאגים בנושא זה היה פתוח כבר ארבעה שבועות, אך נשיא VideoLAN ומפתח ה- VLC הראשי, ז'אן בפטיסט קמפף, השאיר לאחרונה סדרת הערות המצביעה על כך שהדיווחים הם "חדשות מזויפות".

קמפף אמר את ההערות הבאות:

"זה לא מתרסק מהדורה רגילה של VLC 3.0.7.1"

"אם אתה נוחת בכרטיס זה באמצעות מאמר חדשות הטוען לפגם קריטי ב- VLC, אני מציע לך לקרוא תחילה את ההערה לעיל ולשקול מחדש את מקורות החדשות (המזויפים) שלך."

"סליחה, אך הבאג הזה אינו ניתן לשחזור ואינו קורס בכלל VLC."

ארגון VideoLAN, הקבוצה שעומדת מאחורי VLC, צייץ גם את הדברים הבאים:

היי @MITREcorp ו- @CVEnew, העובדה שאתה לעולם לא פנה אלינו לפגיעות VLC במשך שנים לפני פרסום זה ממש לא מגניב; אבל לפחות אתה יכול לבדוק את המידע שלך או לבדוק את עצמך לפני שתשלח פגיעות 9.8 CVSS בפומבי ...

- VideoLAN (@videolan) 23 ביולי 2019

לטענתם, הבעיה תוקנה לפני 18 חודשים וכי ה- VLC אינו פגיע.

אודות "בעיית האבטחה" ב- # VLC: VLC אינו פגיע.
tl; dr: הנושא נמצא בספריה של צד שלישי, הנקראת libebml, שתוקנה לפני יותר מ -16 חודשים.
הגרסה הנכונה של VLC מאז גרסה 3.0.3 נשלחה, ו- @ MITREcorp אפילו לא בדקה את התביעה שלהם.

פְּתִיל:

- VideoLAN (@videolan) 24 ביולי 2019

העדכונים נמשכים, אך נראה כי CERT-Bund עשוי להיות במים חמים אם הם באמת יפרסמו ליקוי אבטחה מזויף. בינתיים זה תלוי בך מי אתה מאמין. שמור את עיניך על ה- ChangeLog של VLC כדי לראות אם מתרחשים תיקונים שקשורים לנושא - או שמא כל אלה רק חדשות מזויפות.


צפו בסרטון: Fix VLC Not Playing Video only Audio When Play 4K or MKV File. 5 Best Solutions (אוֹקְטוֹבֶּר 2021).