ドイツ連邦政府の連邦電子情報保安局(BSI)が、VLCにPC乗っ取りの脆弱性を発見したようです。
アメリカの国立標準技術研究所(NIST)の脆弱性スコアは、10ランク中9.8という高度に脅威と分類しています。
今回見つかったVLCの脆弱性とは、mp4ファイルを再生中にPCを乗っ取るコードが実行されるというもの。
現状、修正パッチはまだ完成していないようです。
使用せずにVLCをアンインストールした方がいいかもしれません。
You Might Want to Uninstall VLC. Immediately.
VLC: Schwachstelle ermöglicht Codeausführung
脆弱性は16ヶ月前のもので3.0.3で修正済みだった
追記ですが、VLC公式が脆弱性は16ヶ月前に発覚したもので、現在のバージョンではとっくに修正済みと公開。
この脆弱性はサードパーティ製の「libeml」というライブラリが原因だったそうです。
バージョン3.0.3で修正済みとのこと。
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
この誤報は、報告者が古いUbuntu 18.04を使っていた為、ライブラリが更新されていなかったのが原因と、VLC公式は推測しています。
にほんブログ村
Tweet
この記事のショートリンク
コメントを残す