VLC媒體播放器存漏洞? 官方Twitter:16個月前已修復

在較早前一家德國保安公司聲稱,全球擁有 31 億用戶的播放器 VLC Media Player 存在漏洞,容許遠端執行代碼和其他惡意行為,但是日前 VLC 透過 Twitter 作出反擊,指該漏洞在 16 個月前已經修復,而且該保安公司在發表所謂報告前,並沒有依照慣例向有關公司通報。

全球超過 31 億 VLC 用戶
由 VideoLAN 開發的 VLC 媒體播放器全球用戶超過 31 億,根據保安公司的報告,被發現的漏洞 CVE-2019-13615 存在於 Windows、Linux 和 Unix 版本 VLC 3.0.7.1 (最新版本的播放器),而暫時並沒有補丁堵塞漏洞,但是也沒有發現該漏洞有被人利用作惡的紀錄。該漏洞讓攻擊者可以透過遠端連線,利用 VLC 的漏洞執行代碼,造成 DoS 狀態,資料外洩或操縱檔案。

製造商 Twitter 大反擊
VLC 播放器的製造商沒有回覆傳媒的查問,反而透過官方 Twitter 發佈更多消息,更稱事故在第三方的資料庫「libebml」之內,但早在 16 個月前已經修復,VLC 自從 3.0.3 已經發佈正確版本,並直接指出相關保安公司沒有對他們的聲明作出檢查,而且該公司有一反行業的慣例,在公開漏洞資料前通知開發商,並給予一定時間進行修復 (以防示出現零時差漏洞,被有心人有機可乘),並在官方 Twitter 上列出保安公司報告的不恰當之處,詳情可以到 VideoLAN 官方 Twitter 瀏覽。

臭蟲賞金計劃增加安全性
VLC 媒體播放器和其他應用程式一樣,會出現不同影響的臭蟲,然而 VideoLAN 表示,自 6 月初開始已修復不少程式的臭蟲,大部份來自由歐盟委員會支助的臭蟲賞金計劃,該支助是為開源項目維持安全而設。

資料來源:Threat Post