網路安全機構發現VLC Media Player存在重大安全漏洞,駭客可以遠端遙控竊取使用者資料
VLC Media Player是個相當簡單好用的全功能免費影音播放軟體。除了不需要另裝影音解碼器就能直接播放各種常見影音格式之外,還在各種作業系統平台都有推出對應的版本,而且你的影片就算是有損壞,它也可以試著播放,總下載量超過3億。不過,最近爆出這款軟體有安全漏洞。
德國網路安全監管機構CERT-Bund最近發現了VLC Media Player中一個嚴重的安全漏洞,CERT-Bund稱黑客的的攻擊可遠程執行程式碼從而造成用戶資料洩露。根據他們的報告指出,漏洞發生於 VLC media player 3.0.7.1 版,當呼叫某個功能的時候,將會導致緩衝區溢位(buffer overflow)的漏洞,造成駭客可以利用此漏洞進行攻擊。
約在一個月前,VLC開發商VideoLAN已著手開始對漏洞進行修復工作,不過目前修復工作只完成了60%。雖然截止目前,尚未發現利用此漏洞進行攻擊的案例,不過CERT-Bund建議用戶在漏洞被修復之前暫停使用VLC Media Player。
由於VLC是跨平台的軟體,根據WinFuture報導,該漏洞會影響到Windows,Linux和UNIX客戶端的多個VLC Media Player版本中,不過macOS目前不會受到bug的影響。
VLC媒體播放器遭爆有遠端攻擊漏洞,結果是烏龍一場
德國的電腦緊急應變中心(CERT)於7月24日警告,VLC媒體播放器(VLC Media Player)含有一個編號為CVE-2019-13615的安全漏洞,允許駭客自遠端執行任意程式。然而,打造該播放器的VideoLAN隔天就澄清,該漏洞是藏匿在第三方的模組中,且已於16個月以前便修補,更抨擊管理CVE編號的MITRE Corporation,在完全沒有向VideoLAN求證的情況下,就發布了該漏洞編號。
VLC為一開源且跨平台的媒體播放器,不僅支援Windows、Linux及macOS等桌面平臺,也支援Andorid與iOS等行動平臺,其全球累積下載次數已超過31億次。
根據德國CERT的警告,CVE-2019-13615為一堆積溢位漏洞,只影響桌面版的VLC Media Player,但波及最新的3.0.7.1版。
不過,VideoLAN隔天透過官方Twitter帳號澄清了此事,並將炮火指向MITRE。VideoLAN解釋,有漏洞的並非是VLC Media Player,而是一個名為libebml的第三方函式庫,且已於16個月前修補,VLC Media Player早就在3.0.3版解決該漏洞,而MITRE卻毫不檢查就頒發漏洞編號。
VideoLAN說,他們無法重製該漏洞,於是聯繫了發現該漏洞的研究人員,才知道對方使用了舊版的Ubuntu 18.04,也因此有許多未更新的函式庫。
VideoLAN並未指責德國CERT或提報的研究人員,而是把炮火指向MITRE,抨擊MITRE既未向VideoLAN求證,也未聯繫VideoLAN,直接就發布了漏洞編號,還說MITRE素行不良,在發布有關VLC的安全問題時,從來沒有知會過VideoLAN,他們都是在使用者或散布平臺的通知下才知道的,MITRE明顯違反自己的管理政策。
MITRE為一美國的非營利組織,它負責管理支援許多美國政府機構的各種研發中心,也負責維護通用漏洞披露(CVE)系統與通用缺陷列表(CWE)專案。
在遭到VideoLAN抗議之後,MITRE已經默默地更新CVE-2019-13615,澄清它是位於libebml函式庫的漏洞,且已於VLC Media Player 3.0.3中修補。
