在VLC Media Player被爆出有重大漏洞之後,VideoLAN在調查後透過官方Twitter帳號出面澄清,漏洞其實與VLC本身無關。翻攝自https://twitter.com/videolan/status/1153963312981389312

德國的電腦緊急應變中心(CERT)於7月24日警告,VLC媒體播放器(VLC Media Player)含有一個編號為CVE-2019-13615的安全漏洞,允許駭客自遠端執行任意程式。然而,打造該播放器的VideoLAN隔天就澄清,該漏洞是藏匿在第三方的模組中,且已於16個月以前便修補,更抨擊管理CVE編號的MITRE Corporation,在完全沒有向VideoLAN求證的情況下,就發布了該漏洞編號。

VLC為一開源且跨平台的媒體播放器,不僅支援Windows、Linux及macOS等桌面平臺,也支援Andorid與iOS等行動平臺,其全球累積下載次數已超過31億次。

根據德國CERT的警告,CVE-2019-13615為一堆積溢位漏洞,只影響桌面版的VLC Media Player,但波及最新的3.0.7.1版。

不過,VideoLAN隔天透過官方Twitter帳號澄清了此事,並將炮火指向MITRE。VideoLAN解釋,有漏洞的並非是VLC Media Player,而是一個名為libebml的第三方函式庫,且已於16個月前修補,VLC Media Player早就在3.0.3版解決該漏洞,而MITRE卻毫不檢查就頒發漏洞編號

VideoLAN說,他們無法重製該漏洞,於是聯繫了發現該漏洞的研究人員,才知道對方使用了舊版的Ubuntu 18.04,也因此有許多未更新的函式庫。

VideoLAN並未指責德國CERT或提報的研究人員,而是把炮火指向MITRE,抨擊MITRE既未向VideoLAN求證,也未聯繫VideoLAN,直接就發布了漏洞編號,還說MITRE素行不良,在發布有關VLC的安全問題時,從來沒有知會過VideoLAN,他們都是在使用者或散布平臺的通知下才知道的,MITRE明顯違反自己的管理政策。

MITRE為一美國的非營利組織,它負責管理支援許多美國政府機構的各種研發中心,也負責維護通用漏洞披露(CVE)系統與通用缺陷列表(CWE)專案。

在遭到VideoLAN抗議之後,MITRE已經默默地更新CVE-2019-13615,澄清它是位於libebml函式庫的漏洞,且已於VLC Media Player 3.0.3中修補。


Advertisement

更多 iThome相關內容