RSSおすすめ記事です

スポンサーリンク

一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ~VideoLANが声明

ニュースセキュリティ

セキュリティ

スポンサーリンク

一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ~VideoLANが声明

1 : 名無しのシステムエンジニアさん 2019/07/25(木) 12:27:17.81 ID:CAP_USER.net

(軽く調べてみましたが、脆弱性が見つかったとしてアンインストールを推奨する記事は大手でもかなりありますが、訂正記事を出しているところはまだ見あたらないようです。よってこの記事の真偽は各個人で判断して下さい)

https://forest.watch.impress.co.jp/img/wf/docs/1197/998/image1.jpg
VideoLAN公式の“Twitter”アカウント

 仏VideoLAN Projectは7月24日(現地時間)、一部メディアで報じられている「VLC media player」の致命的な脆弱性について、公式の“Twitter”アカウントで声明を発表した。報道は誤りであり、すでに修正されているものであるという。

 開発チームによると、報じられている脆弱性は「libebml」と呼ばれるサードパーティー製ライブラリに起因するもので、16カ月以上前にすでに修正されている。「VLC」でもv3.0.3から修正されており、報告された問題は再現できなかったとのこと。報告者は古い「Ubuntu 18.04」を利用しており、ライブラリが適切にアップデートされていなかったようだ。

 しかし、この未検証の脆弱性はMITREにも通報され、開発チームに知らされないうちに“CVE-2019-13615”として登録されたという。当初、この脆弱性は“CVSS v3.0”の基本値で“9.8”と評価されており、米Gizmodoなど一部メディアはそれらを根拠に「VLC」のWindows/Linux/Unix版にはリモートコード実行(RCE)の危険があるとして、アンインストールを推奨していた(執筆時現在、“CVSS v3.0”の基本値は“5.5”に改められている)。実際のところ、今回指摘されたヒープベースのバッファーオーバーリードが「VLC」でリモートコード実行(RCE)にまで発展することはほぼないようだ。

 「VLC」の開発チームは、今回のような事例は初めてではないとして、CVEの管理方法を強く批判している。


https://twitter.com/videolan/status/1153963312981389312
@videolan
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.


関連リンク
VLC: オフィシャルサイト – すべてのOSにフリーなマルチメディアソリューションを! – VideoLAN
https://www.videolan.org/
「VLC media player」定番の無料メディアプレイヤー – 窓の杜
https://forest.watch.impress.co.jp/library/software/vlcmedia_ply/

2019年7月25日 08:00
窓の杜
https://forest.watch.impress.co.jp/docs/news/1197998.html
(deleted an unsolicited ad)


スポンサーリンク

ネットの反応

2 : 名無しのシステムエンジニアさん 2019/07/25(木) 12:36:27.30 ID:byGr8Jq7.net
Left Caption

ubuntuだとヤバいんか

19 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:31:07.77 ID:15x5vm5f.net
Left Caption

>>2
ubutuだろうが、Windowsだろうが一年以上パッチも当てずに放置すれば、そりゃセキュリティ的には弱くなる。

3 : 名無しのシステムエンジニアさん 2019/07/25(木) 12:40:35.99 ID:GL4Ca7bz.net
Left Caption

ウイルスソフトなしでubuntu使ってていい?

24 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:54:46.16 ID:3lzOuvU/.net
Left Caption

>>3
安直なユーザーが増えてきてしまったので
今ではもはやそうとはいいきれない

残念なことにドザからの流入で増えたユーザー数は
クラッカーの攻撃対象にふさわしいようだ

5 : 名無しのシステムエンジニアさん 2019/07/25(木) 12:51:23.28 ID:29p2/Cor.net
Left Caption

Windows10とAndroidに入れてるわ
mp4にエンコしたDVD再生に超便利

6 : 名無しのシステムエンジニアさん 2019/07/25(木) 12:54:47.14 ID:bst3UxyK.net
Left Caption

このニュースで知ってVLC使い始めた
使いやすいね
☆5つ

8 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:01:01.72 ID:O5cYMofw.net
Left Caption

変なデータ収集を避けるにはこれ一択だからな

10 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:08:41.57 ID:MimFEZEf.net
Left Caption

アイコンがダサい

11 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:08:47.95 ID:GeugO4HC.net
Left Caption

ポータブルバージョン使ってる場合は関係ないな

13 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:13:30.94 ID:cBzoamBQ.net
Left Caption

そんなことより、Windows10のJavaの更新で、スクリプトエラーが出るのを
早く治してほしい。

17 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:22:11.66 ID:ASPsCjQF.net
Left Caption

フリーソフトなんてウイルス上等でみんな使ってるもんだと思ってたわ

18 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:28:57.85 ID:XtPtw1qz.net
Left Caption

VLCはAppleTVにAirPlayできるから使ってる

22 : 名無しのシステムエンジニアさん 2019/07/25(木) 13:45:18.08 ID:AhIr5w0B.net
Left Caption

使う時はネット接続する必要はないソフトなのにセキュリティに問題があるのか…
とするとロータス123みたいにアプデされてないソフトを使うのは危険ってことなのかな?

26 : 名無しのシステムエンジニアさん 2019/07/25(木) 14:06:07.41 ID:zOyWdUJq.net
Left Caption

特定のバージョンで脆弱性があることを報告するものだから、
18.04について報告することは問題じゃない

よーな気がしたが、

なんだ報告が遅いし、開発者に通知しないって
どういうことなんだろうねー(白目

27 : 名無しのシステムエンジニアさん 2019/07/25(木) 15:00:54.64 ID:dKjN493T.net
Left Caption

GOM陣営による攪乱作戦だったか

32 : 名無しのシステムエンジニアさん 2019/07/25(木) 15:51:05.28 ID:CDtO+hyb.net
Left Caption

もう全部アンインストールしちゃったよ、もっと早く教えろよ

33 : 名無しのシステムエンジニアさん 2019/07/25(木) 16:00:05.82 ID:LQcsgoHL.net
Left Caption

致命的って何をされるの
外部からの接続でルート権限を乗っ取られるとか?
そういう脆弱性ってOS側でガードしてほしいけどな

36 : 名無しのシステムエンジニアさん 2019/07/25(木) 16:16:45.51 ID:HYDFJgQ/.net
Left Caption

>>33
SELinuxとかAppArmor使いなさいよ
というか近頃のdistroでは有効になってるだろ

35 : 名無しのシステムエンジニアさん 2019/07/25(木) 16:08:10.83 ID:h5xpOGGQ.net
Left Caption

削除してもうたわ。

38 : 名無しのシステムエンジニアさん 2019/07/25(木) 16:26:21.52 ID:kq44OEXo.net
Left Caption

ubuntu18.04おじさんはwindows7おじさんの親戚だね

39 : 名無しのシステムエンジニアさん 2019/07/25(木) 16:42:07.97 ID:HYDFJgQ/.net
Left Caption

>>38
ちょっと違う気が
18.04より新しいLTS出てないだろ
今が2028年ならそうだがw

40 : 名無しのシステムエンジニアさん 2019/07/25(木) 16:48:06.46 ID:zC9b+vxR.net
Left Caption

有名になると狙われるのは世の常。中国製ソフトは絶対に使いたくないが、アンドロイドがぁなぁ

Posted by flac