设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 IT综合资讯 查看内容

VideoLAN反击:VLC远程代码执行漏洞早就修复了!

2019-7-25 21:27| 发布者: joejoe0332| 查看: 341| 评论: 0|原作者: oschina|来自: oschina

摘要: 之前我们报导过最新版本 VLC 媒体播放器被曝出存在严重的远程代码执行漏洞,根据德国网络安全机构 CERT-Bund 披露的消息,该漏洞同时存在于 Windows、Linux 与 Unix 系统中,使得远程匿名攻击者可以执行任意代码、造 ...

之前我们报导过最新版本 VLC 媒体播放器被曝出存在严重的远程代码执行漏洞,根据德国网络安全机构 CERT-Bund 披露的消息,该漏洞同时存在于 Windows、Linux 与 Unix 系统中,使得远程匿名攻击者可以执行任意代码、造成 DoS 条件,并且提取用户信息或操作文件。漏洞已被收录为 CVE-2019-13615,危险分值在满分 10 分制中达到了 9.8。

VLC bug bounty vulnerability

24 日 VLC 项目背后的公司 VideoLAN 发推文表示这个安全问题没有外界所说那么严重,而且这个漏洞其实是存在于第三方库上的。

问题发生在名为 libebml 的第三方库中,并且已经在 16 个月前修复,VLC 3.0.3 版本已经修复了该问题。

VideoLAN 同时指责了最初“恶意”公开该漏洞的 @MITREcorp,VideoLAN 称其使用的是 Ubuntu 18.04 操作系统,这是一个旧版本,并且显然没有更新所有库。

而不知出于什么原因,@MITREcorp 在决定提交这个 CVE 的时候,并没有先告知 VideoLAN,这直接违反了他们自己的政策。甚至“这其实不是 @MITREcorp 第一次这样做,事实上,当他们在 VLC 上发现安全问题时,他们从来不会联系我们,而且我们总是在他们公开之后,当用户或分销商询问我们时才发现问题。”

目前在 NVD 中,VLC 这个漏洞已经从 9.8 分降级到 5.5,VideoLAN 的公共 bug 跟踪器中的相关条目也将问题标为已修复。


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部