X
【PCセキュリティ】一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り 〜VideoLANが声明
■ このスレッドは過去ログ倉庫に格納されています
0001へっぽこ立て子@エリオット ★
垢版 |
2019/07/25(木) 12:27:17.81ID:CAP_USER
(軽く調べてみましたが、脆弱性が見つかったとしてアンインストールを推奨する記事は大手でもかなりありますが、訂正記事を出しているところはまだ見あたらないようです。よってこの記事の真偽は各個人で判断して下さい)

https://forest.watch.impress.co.jp/img/wf/docs/1197/998/image1.jpg
VideoLAN公式の“Twitter”アカウント

 仏VideoLAN Projectは7月24日(現地時間)、一部メディアで報じられている「VLC media player」の致命的な脆弱性について、公式の“Twitter”アカウントで声明を発表した。報道は誤りであり、すでに修正されているものであるという。

 開発チームによると、報じられている脆弱性は「libebml」と呼ばれるサードパーティー製ライブラリに起因するもので、16カ月以上前にすでに修正されている。「VLC」でもv3.0.3から修正されており、報告された問題は再現できなかったとのこと。報告者は古い「Ubuntu 18.04」を利用しており、ライブラリが適切にアップデートされていなかったようだ。

 しかし、この未検証の脆弱性はMITREにも通報され、開発チームに知らされないうちに“CVE-2019-13615”として登録されたという。当初、この脆弱性は“CVSS v3.0”の基本値で“9.8”と評価されており、米Gizmodoなど一部メディアはそれらを根拠に「VLC」のWindows/Linux/Unix版にはリモートコード実行(RCE)の危険があるとして、アンインストールを推奨していた(執筆時現在、“CVSS v3.0”の基本値は“5.5”に改められている)。実際のところ、今回指摘されたヒープベースのバッファーオーバーリードが「VLC」でリモートコード実行(RCE)にまで発展することはほぼないようだ。

 「VLC」の開発チームは、今回のような事例は初めてではないとして、CVEの管理方法を強く批判している。


https://twitter.com/videolan/status/1153963312981389312
@videolan
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.


関連リンク
VLC: オフィシャルサイト - すべてのOSにフリーなマルチメディアソリューションを! - VideoLAN
https://www.videolan.org/
「VLC media player」定番の無料メディアプレイヤー - 窓の杜
https://forest.watch.impress.co.jp/library/software/vlcmedia_ply/

2019年7月25日 08:00
窓の杜
https://forest.watch.impress.co.jp/docs/news/1197998.html
https://twitter.com/5chan_nel (5ch newer account)
0004名刺は切らしておりまして
垢版 |
2019/07/25(木) 12:42:28.46ID:614UFNXN
> 報告者は古い「Ubuntu 18.04」を利用しており
こんなレベルのやつが報告してるのか...
0005名刺は切らしておりまして
垢版 |
2019/07/25(木) 12:51:23.28ID:29p2/Cor
Windows10とAndroidに入れてるわ
mp4にエンコしたDVD再生に超便利
0006名刺は切らしておりまして
垢版 |
2019/07/25(木) 12:54:47.14ID:bst3UxyK
このニュースで知ってVLC使い始めた
使いやすいね
☆5つ
0007名刺は切らしておりまして
垢版 |
2019/07/25(木) 12:57:25.07ID:29p2/Cor
ABリピートも便利だよね
エロ動画のフィニッシュ抜きシーンをピンポイントでリピートできる
0009名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:06:11.00ID:r1lnL4jF
あのアイコンが気に食わない。
0010名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:08:41.57ID:MimFEZEf
アイコンがダサい
0011名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:08:47.95ID:GeugO4HC
ポータブルバージョン使ってる場合は関係ないな
0012名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:12:08.75ID:eERJcxaE
こっわ
定評のあるGOMPlayerに乗り換えるわ
0013名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:13:30.94ID:cBzoamBQ
そんなことより、Windows10のJavaの更新で、スクリプトエラーが出るのを
早く治してほしい。
0014名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:14:10.52ID:bst3UxyK
>>7
こんな機能もあるのか!拡張コントロールってやつな
サンキュー
0015名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:14:12.19ID:cBzoamBQ
>>12
韓国製の奴ね
0016名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:14:32.94ID:GeugO4HC
>>12
バカチョン製でスパイウェアと判明して大騒ぎになったのによくそんなもの使えるな(笑)
0017名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:22:11.66ID:ASPsCjQF
フリーソフトなんてウイルス上等でみんな使ってるもんだと思ってたわ
0019名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:31:07.77ID:15x5vm5f
>>2
ubutuだろうが、Windowsだろうが一年以上パッチも当てずに放置すれば、そりゃセキュリティ的には弱くなる。
0020名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:32:53.51ID:B12M8fzD
ISOを標準で普通に再生できるフリーソフトって他あったか?
0021名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:40:19.60ID:/ETLD/ZA
>>7>>14
ABリピートあったんだ やっと見つけたthx
0022名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:45:18.08ID:AhIr5w0B
使う時はネット接続する必要はないソフトなのにセキュリティに問題があるのか…
とするとロータス123みたいにアプデされてないソフトを使うのは危険ってことなのかな?
0024名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:54:46.16ID:3lzOuvU/
>>3
安直なユーザーが増えてきてしまったので
今ではもはやそうとはいいきれない

残念なことにドザからの流入で増えたユーザー数は
クラッカーの攻撃対象にふさわしいようだ
0025名刺は切らしておりまして
垢版 |
2019/07/25(木) 13:59:22.02ID:aiAfC1Nv
mpv media playerはどうなん?
0026名刺は切らしておりまして
垢版 |
2019/07/25(木) 14:06:07.41ID:zOyWdUJq
特定のバージョンで脆弱性があることを報告するものだから、
18.04について報告することは問題じゃない

よーな気がしたが、

なんだ報告が遅いし、開発者に通知しないって
どういうことなんだろうねー(白目
0027名刺は切らしておりまして
垢版 |
2019/07/25(木) 15:00:54.64ID:dKjN493T
GOM陣営による攪乱作戦だったか
0029名刺は切らしておりまして
垢版 |
2019/07/25(木) 15:28:03.55ID:OD7ziWXC
なにで稼いでるんだ?
0032名刺は切らしておりまして
垢版 |
2019/07/25(木) 15:51:05.28ID:CDtO+hyb
もう全部アンインストールしちゃったよ、もっと早く教えろよ
0033名刺は切らしておりまして
垢版 |
2019/07/25(木) 16:00:05.82ID:LQcsgoHL
致命的って何をされるの
外部からの接続でルート権限を乗っ取られるとか?
そういう脆弱性ってOS側でガードしてほしいけどな
0036名刺は切らしておりまして
垢版 |
2019/07/25(木) 16:16:45.51ID:HYDFJgQ/
>>33
SELinuxとかAppArmor使いなさいよ
というか近頃のdistroでは有効になってるだろ
0037名刺は切らしておりまして
垢版 |
2019/07/25(木) 16:23:42.81ID:GeugO4HC
>>33
動画に特定コード埋め込んで再生させたときにリモートコードを実行させて管理者権限奪取とか
そんな感じだろ
よくある手口、というか乗っ取りの基本的な手順
0038名刺は切らしておりまして
垢版 |
2019/07/25(木) 16:26:21.52ID:kq44OEXo
ubuntu18.04おじさんはwindows7おじさんの親戚だね
0039名刺は切らしておりまして
垢版 |
2019/07/25(木) 16:42:07.97ID:HYDFJgQ/
>>38
ちょっと違う気が
18.04より新しいLTS出てないだろ
今が2028年ならそうだがw
0040名刺は切らしておりまして
垢版 |
2019/07/25(木) 16:48:06.46ID:zC9b+vxR
有名になると狙われるのは世の常。中国製ソフトは絶対に使いたくないが、アンドロイドがぁなぁ
0041名刺は切らしておりまして
垢版 |
2019/07/25(木) 17:06:58.58ID:W4lO8ABk
日本のアダルトビデオにウィルスしこんどいて
いざという時に使えるようにしとけばよい
0042名刺は切らしておりまして
垢版 |
2019/07/25(木) 17:12:51.61ID:JyKkwMmy
>>16
それでもやっぱりGOMが使いやすいんだよ
騒動の時も古いバージョンに戻して使い続けてたし
0043名刺は切らしておりまして
垢版 |
2019/07/25(木) 17:13:32.72ID:1PIL3TMx
また糞モードの糞飛ばし記事かよ
ほんと害悪しかねーな
0047名刺は切らしておりまして
垢版 |
2019/07/25(木) 19:37:51.69ID:QEbYU2QI
、いろいろ試してみたがこれが一番合ってた、俺のマシンだとちょっと重いけど
VLCだったかVCLだったかたまに迷う
0048名刺は切らしておりまして
垢版 |
2019/07/25(木) 19:47:46.99ID:zivTnhPY
>>12
チョーーーン
0049名刺は切らしておりまして
垢版 |
2019/07/25(木) 19:52:07.24ID:zivTnhPY
>>44
代わりに何を使ってるの?
0052名刺は切らしておりまして
垢版 |
2019/07/26(金) 02:13:52.40ID:ffqEVhOe
見かけない拡張子でもみんなとにかく開けちゃうというイメージ。  開きません というのみた覚えがない
0053名刺は切らしておりまして
垢版 |
2019/07/26(金) 03:34:03.13ID:bBxoVKYi
GIF画像は再生できない
これも乗り越えて欲しい
0055名刺は切らしておりまして
垢版 |
2019/07/26(金) 07:16:04.50ID:OD2CXsaA
>>12
朝鮮人なら一択だな
0057名刺は切らしておりまして
垢版 |
2019/07/26(金) 07:43:13.72ID:+E1TcNUA
普段は脆弱性ではスレ立たないのに、一斉にメディアが取り上げてスレ立ってまとめられて、「代替ソフト」の話になった。
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況