VLC多媒體播放器 (VLC Media Player)是許多人愛用的開放式跨平台媒體播放器,在全球累積下載次數超過 31 億次,近日這款軟體被德國的電腦應變中心發出警告指出內含可允許駭客遠端攻擊的未修補漏洞,使得眾多使用者人心惶惶,官方出面澄清該指控實屬烏龍,並強烈譴責管理 CVE 編號的 MITRE Corporation 作業疏失。
VLC 多媒體播放器 內含漏洞實屬烏龍,官方表示:早已發放補丁
昨天,德國 CERT 的安全研究人員發出警告,其中指出 VLC 播放器中含有一個編號為 CVE-2019-13615 的堆積溢位安全漏洞,該漏洞將能允許駭客遠端在使用者電腦上執行任意程式,將對桌面版造成影響,並波及最新的 3.0.7.1 版。在今天,VLC 播放器的開發者 VideoLAN 在其官方 Twitter 上嚴正澄清否認此事。
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) 24 de julio de 2019
VideoLAN 解釋到,有漏洞的並非 VLC 播放器本身,而是在一個名為 libebml 的第三方函式庫中,且該漏洞已經在 16 個月前進行修補,早在 3.0.3 版本中就已經徹底解決該問題,而管理 CVE 編號的 MITRE Corporation 在未向 VideoLAN 求證,且未與當事人聯繫的情況下就貿然頒發該漏洞編號,實屬管理疏失。而 VideoLAN 也與發現該漏動的研究員聯繫後得知該名研究員所使用的系統為舊版 Ubunto 18.04,也因此在他的作業系統中並未更新到最新的函式庫。
在受到抗議之後, MITRE Corporation 已經默默地在 CVE-2019-13615 的說明中更新,澄清該漏洞存在於 libebml 函式庫。大約在 4 週前,VideoLAN 已經發放該問題的補丁,有使用該播放器的人別忘了隨時保持在最新狀態,有洞不補吃虧的還是自己。
◎資料來源:Softpedia
