パスワードを忘れた? アカウント作成
13967467 story
バグ

1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 20

ストーリー by hylom
CVEにまで影響してたのか 部門より

headless曰く、

1年以上前に修正されていたVLCの脆弱性が最新版(3.0.7.1)の脆弱性として報告され、新たにCVE-ID(CVE-2019-13615)も割り当てられたのだが、後にCVEエントリーの修正が行われる結果となった(VideoLANのバグトラッカー#22474NVD —更新履歴SlashGearBetaNews)。

この脆弱性は細工したMKVファイルを読み込ませることでヒープオーバーフローが発生し、VLCがクラッシュするというもの。VideoLANのバグトラッカーには6月25日に登録され、修正が進められていた。しかし、7月16日にCVEエントリーが作成され、複数メディアで報じられると、VideoLANのJean-Baptiste Kempf氏が問題は再現しないとバグトラッカーにコメントする。

Kempf氏はバグトラッカーでの議論の末、報告者が使用していたUbuntu 18.04に含まれる古いバージョンのlibebmlが原因だと結論付けた。libebmlはサードパーティーのライブラリであり、VLCではバイナリバージョン3.0.3で修正済みとのこと。本件についてVideoLANの公式Twitterアカウントでは、MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていないことを明らかにしている。

  • by Anonymous Coward on 2019年07月26日 16時22分 (#3658791)

    2019年07月24日 11時00分 → 超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる [gigazine.net]
    2019年07月25日 12時13分 → 「VLCメディアプレーヤーに重大な脆弱性を発見」は誤報であると開発元のVideoLANが声明を発表 [gigazine.net]

    また、報道に際して「すぐにアンインストールしたほうがいい」と促した海外メディアのGizmodeに対してもVideoLANは批判しています。

    じゃねーよ。おめーも誤報流したんだろうがよ。

    ここに返信
    • by Anonymous Coward on 2019年07月26日 16時47分 (#3658812)

      しれっと末尾に「つづき」ってリンク付けるだけで、元記事訂正も注意喚起もしてないのがすごいな。

    • by Anonymous Coward

      GIGAZINEでテック関係の記事に信頼を求めるのもなんだかな

      Gizmodeに関しては私的のとおりだとは思う
      特にGIZMODO JAPAN、日本語に翻訳してるだけって感じで、日本では凄くないことの記事、日本では提供が受けられないサービスの記事をそのまま日本語で配信するのは誤解を招いてたいへんよろしくないと思う。

      • 横綱級
        * GIGAZINE - 海外記事を煽りながら無批判に翻訳するだけ。速報性はあるが内容の正しさには無関心
        * Gizmode - 私情溢れた超訳が売り。Apple 嫌い
        * Lifehack - 嘘記事。
        * Impress - ほぼ、提灯記事。

        srad は?

        • by Anonymous Coward

          > srad は?

          隔離施設だからへーきへーき

        • by Anonymous Coward

          sradは蠱毒

          • by Anonymous Coward

            sradは蠱毒

            最後に生き残ったのは臆病者の烏。。。

            # 三竦みですらないのに竦んどるとはこれアレゲ

            • by Anonymous Coward

              いろんなサイトが潰れる中、スラドだけは何十年も生き残りそうだな

        • by Anonymous Coward

          gizmodeも嘘ばっかだよ

          • by Anonymous Coward

            ナポレオン・ヒルが詐欺師っていうのを暴かれてから評判悪いな

        • by Anonymous Coward

          オフトピ失礼。

          「GIZMODO」とちゃんと綴られていることのほうが珍しいくらい、スペルミスが多発してるのが気になるのですが、
          なんでみんな「Gizmode」ってタイプしちゃうんでしょう?

          • by Anonymous Coward

            こまけーことは気にすんな、禿げるぞ

          • by Anonymous Coward

            「ギズモ」プラス「モード」だと思ってるからでしょ。「ぎずも堂」だと知ってれば、間違えっこない。

            # ところでapple嫌いって、新手のほめ殺し?

        • by Anonymous Coward

          悪いが Impress が他と同列に見えるのは流石にメディアリテラシーの欠如か中二病の香りがする

  • by Anonymous Coward on 2019年07月27日 1時19分 (#3659149)

    主流でもない形式の細工されたファイルを読み込まないと発動しない脆弱性ごときで「今すぐアンインストールしろ」なんて騒いでいたら、本当にインストールしてるだけで乗っ取り可能になるバックドアとかの発見を報じても相手にされなくなっちゃうんじゃないか

    ここに返信
    • by Anonymous Coward

      実際、mkvファイルなんか、普通眼にする機会が無いと思っている

      • by Anonymous Coward

        GIGAZINEの一報はMP4でしたよ、あの枯れたコンテナにどうやって細工するのか興味湧いた

        • by Anonymous Coward

          >枯れたコンテナ

          libPNGとかゲーム機ハッキングの常套手段じゃない。

  • by Anonymous Coward on 2019年07月28日 12時17分 (#3659615)

    MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていない

    # 黙って見とれ

    ここに返信
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...