1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される

1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 20

ストーリー by hylom 2019年07月26日 15時58分
CVEにまで影響してたのか部門より

headless曰く、

1年以上前に修正されていたVLCの脆弱性が最新版（3.0.7.1）の脆弱性として報告され、新たにCVE-ID（CVE-2019-13615）も割り当てられたのだが、後にCVEエントリーの修正が行われる結果となった（VideoLANのバグトラッカー#22474、NVD —更新履歴、SlashGear、BetaNews）。

この脆弱性は細工したMKVファイルを読み込ませることでヒープオーバーフローが発生し、VLCがクラッシュするというもの。VideoLANのバグトラッカーには6月25日に登録され、修正が進められていた。しかし、7月16日にCVEエントリーが作成され、複数のメディアで報じられると、VideoLANのJean-Baptiste Kempf氏が問題は再現しないとバグトラッカーにコメントする。

Kempf氏はバグトラッカーでの議論の末、報告者が使用していたUbuntu 18.04に含まれる古いバージョンのlibebmlが原因だと結論付けた。libebmlはサードパーティーのライブラリであり、VLCではバイナリバージョン3.0.3で修正済みとのこと。本件についてVideoLANの公式Twitterアカウントでは、MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていないことを明らかにしている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索20コメント Log In/Create an Account

まじかよGIGAZINE最低だな (スコア:1)

by Anonymous Coward on 2019年07月26日 16時22分 (#3658791)

2019年07月24日 11時00分 → 超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる [gigazine.net]
2019年07月25日 12時13分 → 「VLCメディアプレーヤーに重大な脆弱性を発見」は誤報であると開発元のVideoLANが声明を発表 [gigazine.net]
また、報道に際して「すぐにアンインストールしたほうがいい」と促した海外メディアのGizmodeに対してもVideoLANは批判しています。
じゃねーよ。おめーも誤報流したんだろうがよ。
- Re:まじかよGIGAZINE最低だな (スコア:1)
  
  by Anonymous Coward on 2019年07月26日 16時47分 (#3658812)
  
  しれっと末尾に「つづき」ってリンク付けるだけで、元記事訂正も注意喚起もしてないのがすごいな。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  GIGAZINEでテック関係の記事に信頼を求めるのもなんだかな
  Gizmodeに関しては私的のとおりだとは思う
  特にGIZMODO JAPAN、日本語に翻訳してるだけって感じで、日本では凄くないことの記事、日本では提供が受けられないサービスの記事をそのまま日本語で配信するのは誤解を招いてたいへんよろしくないと思う。
  - ダメな「メディア」一覧 (スコア:0)
    
    by Anonymous Coward
    
    横綱級
    * GIGAZINE - 海外記事を煽りながら無批判に翻訳するだけ。速報性はあるが内容の正しさには無関心
    * Gizmode - 私情溢れた超訳が売り。Apple 嫌い
    * Lifehack - 嘘記事。
    * Impress - ほぼ、提灯記事。
    srad は？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      > srad は？
      隔離施設だからへーきへーき
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      sradは蠱毒
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        sradは蠱毒
        最後に生き残ったのは臆病者の烏。。。
        # 三竦みですらないのに竦んどるとはこれアレゲ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        いろんなサイトが潰れる中、スラドだけは何十年も生き残りそうだな
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      gizmodeも嘘ばっかだよ
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        ナポレオン・ヒルが詐欺師っていうのを暴かれてから評判悪いな
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      オフトピ失礼。
      「GIZMODO」とちゃんと綴られていることのほうが珍しいくらい、スペルミスが多発してるのが気になるのですが、
      なんでみんな「Gizmode」ってタイプしちゃうんでしょう?
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        こまけーことは気にすんな、禿げるぞ
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        「ギズモ」プラス「モード」だと思ってるからでしょ。「ぎずも堂」だと知ってれば、間違えっこない。
        #　ところでapple嫌いって、新手のほめ殺し？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      悪いが Impress が他と同列に見えるのは流石にメディアリテラシーの欠如か中二病の香りがする
      - 確かに、Impress は宣伝だけだから、デマ流しメディアとは違う (スコア:0)
        
        by Anonymous Coward
        
        ま、トラ技の広告部分だとおもえばいいのかな。
        最近の「できる～」への誘導が気にならないっていいわねぇ。
誤報じゃなくても過剰反応 (スコア:0)

by Anonymous Coward on 2019年07月27日 1時19分 (#3659149)

主流でもない形式の細工されたファイルを読み込まないと発動しない脆弱性ごときで「今すぐアンインストールしろ」なんて騒いでいたら、本当にインストールしてるだけで乗っ取り可能になるバックドアとかの発見を報じても相手にされなくなっちゃうんじゃないか
- Re: (スコア:0)
  
  by Anonymous Coward
  
  実際、mkvファイルなんか、普通眼にする機会が無いと思っている
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    GIGAZINEの一報はMP4でしたよ、あの枯れたコンテナにどうやって細工するのか興味湧いた
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      >枯れたコンテナ
      libPNGとかゲーム機ハッキングの常套手段じゃない。
まいったぁな (スコア:0)

by Anonymous Coward on 2019年07月28日 12時17分 (#3659615)

MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていない
# 黙って見とれ

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

まじかよGIGAZINE最低だな (スコア:1)

Re:まじかよGIGAZINE最低だな (スコア:1)

Re: (スコア:0)

ダメな「メディア」一覧 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

確かに、Impress は宣伝だけだから、デマ流しメディアとは違う (スコア:0)

誤報じゃなくても過剰反応 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

まいったぁな (スコア:0)