Suositusta VLC-mediasoittimesta väitettiin löytyneen paikkaamaton haavoittuvuus (päivitetty korjauksella: uusimmat versiot eivät haavoittuvia)

Suositusta VLC-mediasoittimesta on löytynyt nollapäivähaavoittuvuus, jolle ei toistaiseksi ole saatavilla korjausta. Haavoittuvuudesta uutisoi ZDNet.

Päivitetty kello 16.42: VLC:tä kehittävän VideoLanin mukaan haavoittuvuus ei ole enää mukana VLC:n uusimmissa versioissa, ja tiedot tältä osin ovat virheellisiä. Haavoittuvuus syntyi ulkopuolisesta ohjelmakirjastosta.

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

MAINOS (ARTIKKELI JATKUU ALLA)

Thread:

— VideoLAN (@videolan) July 24, 2019

VLC-mediasoittimen haavoittuvuus mahdollistaa soittimella käytettyjen tiedostojen vakoilun, muokkaamisen ja jopa varastamisen, minkä lisäksi sen kautta saattaa olla pääsy laitteen muihinkin tiedostoihin. Toistaiseksi vahvistamattoman tiedon mukaan haavoittuvuuden hyödyntäminen vaatisi tietyn mp4-tiedoston käyttöä VLC-soittimella, mutta varmaa tietoa asiasta ei ole.

Vakavan tilanteesta tekee se, että haavoittuvuuden hyödyntäminen ei nähtävästi vaadi VLC-soittimen käyttäjältä toimia, vaan hakkerit voivat päästä käsiksi tiedostoihin itsenäisesti.

Haavoittuvuus on läsnä VLC-soittimen tuoreimmassa 3.0.7.1-versiossa Windows-, Linux- ja Unix-laitteille. Muun muassa Androidilla ja iOS:llä haavoittuvuutta ei ole havaittu.

VLC-mediasoittimen tekijät ovat ilmoittaneet asettaneensa haavoittuvuuden korjaamisen etusijalle. Korjausta ei vielä ole saatavilla, mutta sen pitäisi valmistua piakkoin. Toistaiseksi ei ole tiedossa tapauksia, joissa nollapäivähaavoittuvuutta olisi päästy hyödyntämään.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla