1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 20
ストーリー by hylom
CVEにまで影響してたのか 部門より
CVEにまで影響してたのか 部門より
headless曰く、
1年以上前に修正されていたVLCの脆弱性が最新版(3.0.7.1)の脆弱性として報告され、新たにCVE-ID(CVE-2019-13615)も割り当てられたのだが、後にCVEエントリーの修正が行われる結果となった(VideoLANのバグトラッカー#22474、NVD —更新履歴、SlashGear、BetaNews)。
この脆弱性は細工したMKVファイルを読み込ませることでヒープオーバーフローが発生し、VLCがクラッシュするというもの。VideoLANのバグトラッカーには6月25日に登録され、修正が進められていた。しかし、7月16日にCVEエントリーが作成され、複数のメディアで報じられると、VideoLANのJean-Baptiste Kempf氏が問題は再現しないとバグトラッカーにコメントする。
Kempf氏はバグトラッカーでの議論の末、報告者が使用していたUbuntu 18.04に含まれる古いバージョンのlibebmlが原因だと結論付けた。libebmlはサードパーティーのライブラリであり、VLCではバイナリバージョン3.0.3で修正済みとのこと。本件についてVideoLANの公式Twitterアカウントでは、MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていないことを明らかにしている。
まじかよGIGAZINE最低だな (スコア:1)
2019年07月24日 11時00分 → 超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる [gigazine.net]
2019年07月25日 12時13分 → 「VLCメディアプレーヤーに重大な脆弱性を発見」は誤報であると開発元のVideoLANが声明を発表 [gigazine.net]
また、報道に際して「すぐにアンインストールしたほうがいい」と促した海外メディアのGizmodeに対してもVideoLANは批判しています。
じゃねーよ。おめーも誤報流したんだろうがよ。
Re:まじかよGIGAZINE最低だな (スコア:1)
しれっと末尾に「つづき」ってリンク付けるだけで、元記事訂正も注意喚起もしてないのがすごいな。
Re: (スコア:0)
GIGAZINEでテック関係の記事に信頼を求めるのもなんだかな
Gizmodeに関しては私的のとおりだとは思う
特にGIZMODO JAPAN、日本語に翻訳してるだけって感じで、日本では凄くないことの記事、日本では提供が受けられないサービスの記事をそのまま日本語で配信するのは誤解を招いてたいへんよろしくないと思う。
ダメな「メディア」一覧 (スコア:0)
横綱級
* GIGAZINE - 海外記事を煽りながら無批判に翻訳するだけ。速報性はあるが内容の正しさには無関心
* Gizmode - 私情溢れた超訳が売り。Apple 嫌い
* Lifehack - 嘘記事。
* Impress - ほぼ、提灯記事。
srad は?
Re: (スコア:0)
> srad は?
隔離施設だからへーきへーき
Re: (スコア:0)
sradは蠱毒
Re: (スコア:0)
sradは蠱毒
最後に生き残ったのは臆病者の烏。。。
# 三竦みですらないのに竦んどるとはこれアレゲ
Re: (スコア:0)
いろんなサイトが潰れる中、スラドだけは何十年も生き残りそうだな
Re: (スコア:0)
gizmodeも嘘ばっかだよ
Re: (スコア:0)
ナポレオン・ヒルが詐欺師っていうのを暴かれてから評判悪いな
Re: (スコア:0)
オフトピ失礼。
「GIZMODO」とちゃんと綴られていることのほうが珍しいくらい、スペルミスが多発してるのが気になるのですが、
なんでみんな「Gizmode」ってタイプしちゃうんでしょう?
Re: (スコア:0)
こまけーことは気にすんな、禿げるぞ
Re: (スコア:0)
「ギズモ」プラス「モード」だと思ってるからでしょ。「ぎずも堂」だと知ってれば、間違えっこない。
# ところでapple嫌いって、新手のほめ殺し?
Re: (スコア:0)
悪いが Impress が他と同列に見えるのは流石にメディアリテラシーの欠如か中二病の香りがする
確かに、Impress は宣伝だけだから、デマ流しメディアとは違う (スコア:0)
ま、トラ技の広告部分だとおもえばいいのかな。
最近の「できる~」への誘導が気にならないっていいわねぇ。
誤報じゃなくても過剰反応 (スコア:0)
主流でもない形式の細工されたファイルを読み込まないと発動しない脆弱性ごときで「今すぐアンインストールしろ」なんて騒いでいたら、本当にインストールしてるだけで乗っ取り可能になるバックドアとかの発見を報じても相手にされなくなっちゃうんじゃないか
Re: (スコア:0)
実際、mkvファイルなんか、普通眼にする機会が無いと思っている
Re: (スコア:0)
GIGAZINEの一報はMP4でしたよ、あの枯れたコンテナにどうやって細工するのか興味湧いた
Re: (スコア:0)
>枯れたコンテナ
libPNGとかゲーム機ハッキングの常套手段じゃない。
まいったぁな (スコア:0)
MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていない
# 黙って見とれ