La vulnerabilità deriva da una condizione di buffer overflow della memoria heap e affligge la versione più recente di VLC per Windows, Linux e UNIX (probabilmente anche macOS). Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o, in caso di tentativi falliti di sfruttamento, di causare condizioni di denial of service.
La vulnerabilità è presente nella versione più recente di VLC, 3.0.7.1, e probabilmente anche in versioni precedenti.
Al momento non è ancora disponibile un aggiornamento dell’applicazione che risolve questa criticità, anche se il produttore VideoLAN è già al lavoro su una patch di sicurezza che dovrebbe essere resa disponibile a breve.
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: gio lug 25, 2019 3:00 pm
da mogano
non capisco come si possa usare VLC quando c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: gio lug 25, 2019 6:29 pm
da Sabato Maiello
mogano ha scritto: ↑gio lug 25, 2019 3:00 pm
c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
mogano ha scritto: ↑gio lug 25, 2019 3:00 pm
c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
i gusti non si discutono, ho scoperto Potplayer per necessità, ero alla ricerca di un sostituto di VLC perchè su Win 10 non si apriva più, le provai tutte. Ne sono rimasto incantato, stupendo e completissimo, immagini da favola.
Ciao
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: ven lug 26, 2019 11:31 am
da Sabato Maiello
Certo
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: ven lug 26, 2019 1:09 pm
da leofelix
ciao a tutti,
vedo che CUB3 mi ha preceduto, avevo letto ier sera questo thread dal mio tablet.
VLC ( che uso anche io) non è affetto, è stata una cattiva intepretazione di chi ha "scoperto" la stessa.
Qui un articolo in inglese da bleepingcomputer (un sito che seguo da anni e che consiglio a tutti) https://www.bleepingcomputer.com/news/s ... erability/
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Mi dispiace e scuso per aver inconsapevolmente alimentato la diffusione di una notizia non veritiera, circostanza questa che ha provocato la sorpresa e - giustamente - polemica reazione dello stesso team di VideoLAN (in particolare QUI e QUI) per come la vicenda del falso allarme si è generata.
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: sab lug 27, 2019 11:58 am
da Matilda12
Una curiosità, per me, su cui chiedo lumi, a questo punto.
Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".
Evidenzio: "libebmlbefore 1.3.6".
Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?
Grazie per l'attenzione!
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: sab lug 27, 2019 6:40 pm
da leofelix
Matilda12 ha scritto: ↑sab lug 27, 2019 11:58 am
Una curiosità, per me, su cui chiedo lumi, a questo punto.
Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".
Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.
Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?
Non posso dire altro che non uso distro Linux da tempo e che gira che ti rigira torno ai sistemi di casa Redmond (eccezion fatta per android)
Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce
Un saluto a tutti
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: sab lug 27, 2019 7:29 pm
da CUB3
Matilda12 ha scritto: ↑sab lug 27, 2019 11:58 am
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".
Evidenzio: "libebmlbefore 1.3.6".
Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
Matilda12 ha scritto:
Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?
Linux non è invulnerabile ma la comunità che c'è dietro è molto attiva e le patch per le vulnerabilità note vengono solitamente applicate in maniera tanto più veloce quanto più è grave la vulnerabilità, fatto salvo alcune rare eccezioni. Per cui circoscrivere il problema solo a Linux mi sembra eccessivo anche se sicuramente qualche particolare distribuzione sarà rimasta indietro nel risolvere questa (come altre) vulnerabilità. Detto questo sarei pronto a scommettere che ci sono molti più sistemi Windows con VLC vulnerabile rispetto alle installazioni Linux, non solo per la legge dei grandi numeri (le installazioni Windows sono n volte quelle di Linux!) ma proprio come media e questo non perché sia un problema di Windows ma per l'avversione di molti utenti agli aggiornamenti.
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.
Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?
Il fatto/problema, e potrei dire una sonora sciocchezza, è che al di là della edizione di Ubuntu (derivata o meno) il repository/canale attraverso cui sono rilasciati gli aggiornamenti dei vari pacchetti ancora contiene la libreria affetta da vulnerabilità.
leofelix ha scritto: ↑sab lug 27, 2019 6:40 pm
Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce
Gentilissimo! Grazie per la comprensione e solidarietà. Come si dice dalle mie parti (meglio: nel luogo dove lavoro), mi sono sentito proprio un vero ciambotto!!!
leofelix ha scritto: ↑sab lug 27, 2019 6:40 pm
Un saluto a tutti
Un caro saluto a te! A tutti!
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: sab lug 27, 2019 7:34 pm
da Matilda12
Grazie anche a te CUB3 per la risposta e le spiegazioni!
Mentre postavi, stavo scrivendo anch'io.
Buon fine settimana ... nonostante la pioggia sferzante (almeno dalle mie parti).
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)
Inviato: dom lug 28, 2019 10:53 am
da tique
Mogano suggerisce PotPlayer come migliore alternativa a VLC.
Un semplice controllo di PotPlayer con VirusTotal online e poi ne parliamo.
Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)