关于VLC“严重”漏洞的讨论:一场被夸大的风波?
最近,一些网站建议用户立即卸载VLC媒体播放器,理由是其存在所谓的“严重”缺陷。然而,根据VLC开发团队的说法,这个漏洞可能被严重夸大了,甚至可能根本不存在安全风险。
这一切的起因是一个名为CVE-2019-13615的漏洞,它被评为“严重”级别,获得了9.8分的高分(满分10分)。值得注意的是,VLC的开发人员对此表示不满,因为他们在漏洞发布之前并未被事先告知或联系。
VLC团队在推特上公开表达了他们的不满:“嘿@MITREcorp 和 @CVEnew,你们在发布之前多年从未就VLC漏洞与我们联系,这真的非常不专业!至少在公开发布9.8分的CVSS漏洞之前,应该先检查一下信息,或者自己验证一下……”
这个高达9.8分的漏洞,听起来像是即将发生的灾难。 据报道,该漏洞可能会导致远程代码执行,这意味着攻击者可以通过利用VLC中的漏洞来控制用户的计算机。这种可能性让人感到担忧。
CVE的报告显示,这个漏洞需要播放一个格式错误的MKV文件才能触发。理论上,如果你从网上下载一个恶意的MKV文件并使用VLC播放,那么你的系统可能会面临风险。然而,目前还没有任何证据表明这种情况在现实中发生过。此外,据了解,macOS版本的VLC似乎不受此漏洞的影响。
因此,即使这个漏洞看起来很吓人,用户真正需要做的就是小心处理MKV文件。在官方补丁发布之前,避免下载和使用来自不可信任来源的MKV文件。如果你经常下载盗版媒体,尤其需要注意避免使用MKV格式。
然而,事情似乎并没有那么简单。VLC的开发人员表示,他们根本无法重现该问题,这表明最初的漏洞报告可能存在问题。VLC团队还在推特上质疑:“你们真的检查过这个问题吗?我们这里没有人可以重现这个漏洞。”
总而言之,在VLC修复所谓的漏洞之前,谨慎对待下载的MKV文件可能是明智之举。但即便如此,这样的预防措施也可能有点过分。VLC开发人员在VideoLAN的错误跟踪系统中明确表示:
“抱歉,这个错误是无法重现的,它根本不会导致VLC崩溃。” —— 让-巴蒂斯特·肯普夫
“如果你是通过新闻文章了解到VLC存在严重漏洞,我建议你先阅读上述评论,并重新评估你的(虚假)新闻来源。” —— 弗朗索瓦·卡特尼
“这不会导致VLC 3.0.7.1的正常版本崩溃。”—— 让-巴蒂斯特·肯普夫
更新:这是VideoLAN的更详细回应。根据开发人员的说法,当前版本的VLC软件根本不存在这个缺陷。
VLC团队在推特上补充道:“一位记者在我们的bug跟踪器上提交了一个bug,这个bug超出了报告政策,也就是应该通过安全别名私下发送给我们。当然,我们的bug跟踪器是公开的。 我们当然无法重现该问题,并且试图私下联系安全研究人员。”
综上所述,虽然CVE报告将VLC漏洞评为“严重”,但VLC开发团队对此表示强烈质疑。用户在下载和播放MKV文件时应谨慎,但不必过于恐慌。 最终,VLC可能根本不存在安全风险,这可能仅仅是一场被夸大的风波。