ニュース
一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ~VideoLANが声明
サードパーティー製ライブラリに起因するもので、16カ月以上前にすでに修正
2019年7月25日 08:00
仏VideoLAN Projectは7月24日(現地時間)、一部メディアで報じられている「VLC media player」の致命的な脆弱性について、公式の“Twitter”アカウントで声明を発表した。報道は誤りであり、すでに修正されているものであるという。
開発チームによると、報じられている脆弱性は「libebml」と呼ばれるサードパーティー製ライブラリに起因するもので、16カ月以上前にすでに修正されている。「VLC」でもv3.0.3から修正されており、報告された問題は再現できなかったとのこと。報告者は古い「Ubuntu 18.04」を利用しており、ライブラリが適切にアップデートされていなかったようだ。
しかし、この未検証の脆弱性はMITREにも通報され、開発チームに知らされないうちに“CVE-2019-13615”として登録されたという。当初、この脆弱性は“CVSS v3.0”の基本値で“9.8”と評価されており、米Gizmodoなど一部メディアはそれらを根拠に「VLC」のWindows/Linux/Unix版にはリモートコード実行(RCE)の危険があるとして、アンインストールを推奨していた(執筆時現在、“CVSS v3.0”の基本値は“5.5”に改められている)。実際のところ、今回指摘されたヒープベースのバッファ―オーバーリードが「VLC」でリモートコード実行(RCE)にまで発展することはほぼないようだ。
「VLC」の開発チームは、今回のような事例は初めてではないとして、CVEの管理方法を強く批判している。
About the "security issue" on#VLC: VLC is not vulnerable.
— VideoLAN (@videolan)2019年7月24日
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and@MITREcorpdid not even check their claim.
Thread: