不少人為了影音檔案的相容性,會選擇在電腦上安裝第三方的影音播放軟體,其中開源的 VLC Player 是不少人的首選,不過最近傳出除了 MacOS 外,包括 Windows 、Linux 與 UNIX 等早期的 VLC Player 有嚴重的漏洞,駭客能藉此入侵進行遠端攻擊,包括安裝程式、觀看電腦內的檔案等。
雖然一開始公布此安全漏洞的德國 CERT-Bund 指出此漏洞相當危險,但最後由 VLC Player 背後的 VideoLAN 證實,此漏洞是由於舊版本的第三方資料庫 Libebml 造成,不過 Libebml 已經在 16 個月前修復,同時新版的 VLC Player 3.0.3 已經使用新版 Libebml ,此外目前也未曾聽聞有任何透過這項漏洞進行攻擊的實例。
此外, VideoLAN 指出,最早爆出此漏洞的 @MITREcorp 屢次在發現 VLC 有安全性問題也不曾主動與其聯繫,而當許多媒體陸續報導此新聞時也不曾與他們聯繫確認狀況,導致現在 VideoLAN 忙於應對使用者的詢問,他們也決定公告實際狀況與在推特文直接點名還未更正內容的媒體...
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) 2019年7月24日
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
雖說就結果論好像是虛驚一場,但此類第三方播放軟體多數的使用者不會經常性更新,很可能第一次安裝後就不曾再更新到新版本,若當前仍在使用舊版 VLC Player 的使用者,也建議趁早進行版本更新,避免哪天真的被駭客盯上進行攻擊。
新聞來源: Gizmodo
