VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
Avatar utente
Matilda12
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 148
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche

VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 » gio lug 25, 2019 8:51 am

Dal sito del CERT (Computer Emergency Response Team) la segnalazione di una vulnerabilità critica che affigge VideoLAN VLC media player.
In particolare:
La vulnerabilità deriva da una condizione di buffer overflow della memoria heap e affligge la versione più recente di VLC per Windows, Linux e UNIX (probabilmente anche macOS). Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o, in caso di tentativi falliti di sfruttamento, di causare condizioni di denial of service.

La vulnerabilità è presente nella versione più recente di VLC, 3.0.7.1, e probabilmente anche in versioni precedenti.

Al momento non è ancora disponibile un aggiornamento dell’applicazione che risolve questa criticità, anche se il produttore VideoLAN è già al lavoro su una patch di sicurezza che dovrebbe essere resa disponibile a breve.
L'articolo completo è disponibile QUI.

:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da System » gio lug 25, 2019 8:51 am


mogano

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da mogano » gio lug 25, 2019 3:00 pm

non capisco come si possa usare VLC quando c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.

Avatar utente
Sabato Maiello
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 518
Iscritto il: sab apr 08, 2017 12:01 pm

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Sabato Maiello » gio lug 25, 2019 6:29 pm

mogano ha scritto:
gio lug 25, 2019 3:00 pm
c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
Una recensione è disponibile qui (sito amico) http://www.aiutamici.com/software?ID=11118
(Dove per i gusti miei continuerò ad usare VLC)

mogano

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da mogano » gio lug 25, 2019 8:12 pm

Sabato Maiello ha scritto:
gio lug 25, 2019 6:29 pm
mogano ha scritto:
gio lug 25, 2019 3:00 pm
c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
Una recensione è disponibile qui (sito amico) http://www.aiutamici.com/software?ID=11118
(Dove per i gusti miei continuerò ad usare VLC)
i gusti non si discutono, ho scoperto Potplayer per necessità, ero alla ricerca di un sostituto di VLC perchè su Win 10 non si apriva più, le provai tutte. Ne sono rimasto incantato, stupendo e completissimo, immagini da favola.

Ciao :)

Avatar utente
Sabato Maiello
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 518
Iscritto il: sab apr 08, 2017 12:01 pm

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Sabato Maiello » ven lug 26, 2019 11:31 am

Certo ;)

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1589
Iscritto il: lun gen 26, 2015 10:13 am

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da CUB3 » ven lug 26, 2019 12:19 pm

"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
leofelix
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 112
Iscritto il: mer lug 03, 2013 11:46 am
Località: Italia

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da leofelix » ven lug 26, 2019 1:09 pm

ciao a tutti,
vedo che CUB3 mi ha preceduto, avevo letto ier sera questo thread dal mio tablet.
VLC ( che uso anche io) non è affetto, è stata una cattiva intepretazione di chi ha "scoperto" la stessa.
Qui un articolo in inglese da bleepingcomputer (un sito che seguo da anni e che consiglio a tutti)
https://www.bleepingcomputer.com/news/s ... erability/

Avatar utente
Matilda12
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 148
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 » sab lug 27, 2019 8:33 am

CUB3 ha scritto:
ven lug 26, 2019 12:19 pm
https://mobile.twitter.com/videolan/sta ... 89312?s=21
Mi dispiace e scuso per aver inconsapevolmente alimentato la diffusione di una notizia non veritiera, circostanza questa che ha provocato la sorpresa e - giustamente - polemica reazione dello stesso team di VideoLAN (in particolare QUI e QUI) per come la vicenda del falso allarme si è generata.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)

Avatar utente
Matilda12
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 148
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 » sab lug 27, 2019 11:58 am

Una curiosità, per me, su cui chiedo lumi, a questo punto.

Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".

Evidenzio: "libebml before 1.3.6".

Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Immagine

:cofftopic
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
:cofftopic

Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?

Grazie per l'attenzione! :brindisi
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)

Avatar utente
leofelix
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 112
Iscritto il: mer lug 03, 2013 11:46 am
Località: Italia

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da leofelix » sab lug 27, 2019 6:40 pm

Matilda12 ha scritto:
sab lug 27, 2019 11:58 am
Una curiosità, per me, su cui chiedo lumi, a questo punto.

Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".

Evidenzio: "libebml before 1.3.6".
Ciao,
posso avanzare delle ipotesi, traggo da https://www.bleepingcomputer.com/news/s ... erability/

Codice: Seleziona tutto

It turns out that the reporting user was using an older version of Ubuntu that includes a vulnerable version of the libeml module.
Linux Mint 19.1 è basato su Ubuntu 18.04 stando a quanto si legge nelle note di rilascio (anche softpedia lo riporta)
https://linuxmint.com/rel_tessa_cinnamon.php

Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.

Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?

Non posso dire altro che non uso distro Linux da tempo e che gira che ti rigira torno ai sistemi di casa Redmond (eccezion fatta per android)

Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce :D

Un saluto a tutti :ciao

Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 1589
Iscritto il: lun gen 26, 2015 10:13 am

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da CUB3 » sab lug 27, 2019 7:29 pm

Matilda12 ha scritto:
sab lug 27, 2019 11:58 am
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".

Evidenzio: "libebml before 1.3.6".

Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Immagine
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
La libreria installata, anche se nella versione precedente sembra già essere stata "patchata" per correggere la vulnerabilità.
Matilda12 ha scritto: Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?
Linux non è invulnerabile ma la comunità che c'è dietro è molto attiva e le patch per le vulnerabilità note vengono solitamente applicate in maniera tanto più veloce quanto più è grave la vulnerabilità, fatto salvo alcune rare eccezioni. Per cui circoscrivere il problema solo a Linux mi sembra eccessivo anche se sicuramente qualche particolare distribuzione sarà rimasta indietro nel risolvere questa (come altre) vulnerabilità. Detto questo sarei pronto a scommettere che ci sono molti più sistemi Windows con VLC vulnerabile rispetto alle installazioni Linux, non solo per la legge dei grandi numeri (le installazioni Windows sono n volte quelle di Linux!) ma proprio come media e questo non perché sia un problema di Windows ma per l'avversione di molti utenti agli aggiornamenti.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen

Avatar utente
Matilda12
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 148
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 » sab lug 27, 2019 7:31 pm

leofelix ha scritto:
sab lug 27, 2019 6:40 pm
Linux Mint 19.1 è basato su Ubuntu 18.04 stando a quanto si legge nelle note di rilascio (anche softpedia lo riporta)
https://linuxmint.com/rel_tessa_cinnamon.php

Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.

Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?
Assolutamente posso confermare: "Linux Mint 19.1 is based on Ubuntu 18.04" (esattamente il collegamento da te riportato: Release Notes for Linux Mint 19.1 Cinnamon). ;)

Il fatto/problema, e potrei dire una sonora sciocchezza, è che al di là della edizione di Ubuntu (derivata o meno) il repository/canale attraverso cui sono rilasciati gli aggiornamenti dei vari pacchetti ancora contiene la libreria affetta da vulnerabilità.
leofelix ha scritto:
sab lug 27, 2019 6:40 pm
Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce :D
Gentilissimo! Grazie per la comprensione e solidarietà. Come si dice dalle mie parti (meglio: nel luogo dove lavoro), mi sono sentito proprio un vero ciambotto!!! :(:lol:
leofelix ha scritto:
sab lug 27, 2019 6:40 pm
Un saluto a tutti :ciao
Un caro saluto a te! A tutti! :brindisi:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)

Avatar utente
Matilda12
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 148
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 » sab lug 27, 2019 7:34 pm

Grazie anche a te CUB3 per la risposta e le spiegazioni! ;)
Mentre postavi, stavo scrivendo anch'io.
Buon fine settimana ... nonostante la pioggia sferzante (almeno dalle mie parti). :)
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)

Avatar utente
tique
Livello: Floppy disk (3/15)
Livello: Floppy disk (3/15)
Messaggi: 34
Iscritto il: gio mag 08, 2014 2:15 pm

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da tique » dom lug 28, 2019 10:53 am

Mogano suggerisce PotPlayer come migliore alternativa a VLC.
Un semplice controllo di PotPlayer con VirusTotal online e poi ne parliamo.

Avatar utente
Matilda12
Livello: DVD-ROM (5/15)
Livello: DVD-ROM (5/15)
Messaggi: 148
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 » dom lug 28, 2019 1:00 pm

Comunque, scorrazzando di qua e di là per la rete, questa si è rivelata una vulnerabilità con polemica a rimorchio: "VLC, la vulnerabilità è grave (forse)" fonte Punto Informatico.

Più che una vulnerabilità informatica sembra il racconto di una (presunta) crisi di governo all'italiana ... mah. :s
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da System » dom lug 28, 2019 1:00 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio