VideoLAN 反擊:VLC 遠程代碼執行漏洞早就修復了
之前我們報導過最新版本VLC媒體播放器被曝出存在嚴重的遠程代碼執行漏洞,根據德國網絡安全機構CERT-Bund披露的消息,該漏洞同時存在於Windows、Linux與Unix系統中,使得遠程匿名攻擊者可以執行任意代碼、造成DoS條件,並且提取用戶信息或操作文件。漏洞已被收錄為 CVE-2019-13615,危險分值在滿分10分制中達到了9.8。
24日VLC項目背後的公司VideoLAN發推文表示這個安全問題沒有外界所說那麼嚴重,而且這個漏洞其實是存在於第三方庫上的。
問題發生在名為libebml 的第三方庫中,並且已經在16 個月前修復,VLC 3.0.3 版本已經修復了該問題。
VideoLAN 同時指責了最初“惡意”公開該漏洞的 @MITREcorp,VideoLAN 稱其使用的是Ubuntu 18.04 操作系統,這是一個舊版本,並且顯然沒有更新所有庫。
而不知出於什麼原因,@MITREcorp 在決定提交這個CVE 的時候,並沒有先告知VideoLAN,這直接違反了他們自己的政策。甚至“這其實不是@MITREcorp 第一次這樣做,事實上,當他們在VLC 上發現安全問題時,他們永遠不會聯繫我們,而且我們總是在他們公開之後,當用戶或分銷商詢問我們時才發現問題。”
目前在NVD中,VLC這個漏洞已經從9.8分降級到5.5,VideoLAN的公共bug跟踪器中的相關條目也將問題標為已修復。