VLCにPC乗っ取りの脆弱性

ドイツ連邦政府の連邦電子情報保安局(BSI)が、VLCにPC乗っ取りの脆弱性を発見したようです。
アメリカの国立標準技術研究所(NIST)の脆弱性スコアは、10ランク中9.8という高度に脅威と分類しています。
今回見つかったVLCの脆弱性とは、mp4ファイルを再生中にPCを乗っ取るコードが実行されるというもの。
現状、修正パッチはまだ完成していないようです。
使用せずにVLCをアンインストールした方がいいかもしれません。

You Might Want to Uninstall VLC. Immediately.

VLC: Schwachstelle ermöglicht Codeausführung

CVE-2019-13615 Detail

脆弱性は16ヶ月前のもので3.0.3で修正済みだった

追記ですが、VLC公式が脆弱性は16ヶ月前に発覚したもので、現在のバージョンではとっくに修正済みと公開。

この脆弱性はサードパーティ製の「libeml」というライブラリが原因だったそうです。
バージョン3.0.3で修正済みとのこと。

About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

https://twitter.com/videolan/status/1153963312981389312

この誤報は、報告者が古いUbuntu 18.04を使っていた為、ライブラリが更新されていなかったのが原因と、VLC公式は推測しています。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください