無料のメディアプレイヤー「VLC 3.0.13」が公開 ～リモートコード実行の脆弱性を修正

「VLC media player」v3.0.13が公開

　仏VideoLAN Projectは5月10日（現地時間）、デスクトップ版「VLC media player 3.0」（コードネーム：Vetinari）の最新版v3.0.13を正式公開した。本バージョンは不具合の修正が中心のマイナーアップデートで、ネットワーク共有とアダプティブストリーミングのサポートが改善されたほか、MP4オーディオに関わるリグレッション（機能後退）が解決された。Macでクラッシュする問題も対処済み。

　また、本バージョンでは複数の脆弱性が修正されているので注意。なかでも細工が施されたプレイリストで右クリックメニューの［含まれるフォルダーを表示］コマンドを利用すると、プレイリストアイテムのURLに関連付けされているデフォルトアプリが勝手に開かれてしまう問題には警戒が必要で、リモートから任意のコードが実行されてしまう可能性がある。なお、修正された脆弱性が悪用された報告はないとのこと。

　この問題はドイツのセキュリティ企業Positive Securityによって指摘されたもので、OSやアプリケーションがURLを適切に検証せず、ファイル共有を自動マウントしたり、信頼できない実行ファイルを警告ダイアログなしに実行してしまうのが原因だ。「file://」など、よく知られているケースに関してはOSやアプリによる対応が進んでいるものの、対策が不十分なケースも少なくない。同社は「Bitcoin」デスクトップクライアントや「LibreOffice」（指摘したものの却下）、「Apache OpenOffice」（「OpenOffice 4.1.10」で対策済み）などにも影響するとして、関連ベンダーに対し注意を喚起している。

　デスクトップ版「VLC media player」は、オープンソースで開発されているマルチプラットフォーム対応のマルチメディアプレイヤー。わざわざ追加のコーデックを導入しなくても、幅広いファイルフォーマットに対応しているのが魅力だ。対応OSはWindows/Mac/Linuxなどで、現在「videolan.org」から無償でダウンロード可能（寄付歓迎）。Windowsデスクトップ向けは窓の杜ライブラリからも入手できる。また、UWP版やモバイル版もラインナップされている。

　なお、次期メジャーバージョン「VLC 4.0.0」も現在開発中だ。このバージョンではアーキテクチャーの見直しやライブラリ・プレイリスト・対応ファイル形式の強化が図られるほか、古い機能の削除が行われる。また、システム要件の引き上げが予定されているので注意したい。

• Windows 7/2008 R2およびそれ以降（KB2533623が必要）
• macOS 10.11およびそれ以降
• iOS 9およびそれ以降
• Android 4.1.xおよびそれ以降（API-16）
• GCC 5.0およびClang 3.4相当

　加えてWindows版では「Windows on ARM」がサポートされるが、UPW版アプリからはWindows 8対応が削除され、Windows 10のみの対応となる。