VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
Regole del forum
Rispondi
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 »

Dal sito del CERT (Computer Emergency Response Team) la segnalazione di una vulnerabilità critica che affigge VideoLAN VLC media player.
In particolare:
La vulnerabilità deriva da una condizione di buffer overflow della memoria heap e affligge la versione più recente di VLC per Windows, Linux e UNIX (probabilmente anche macOS). Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o, in caso di tentativi falliti di sfruttamento, di causare condizioni di denial of service.

La vulnerabilità è presente nella versione più recente di VLC, 3.0.7.1, e probabilmente anche in versioni precedenti.

Al momento non è ancora disponibile un aggiornamento dell’applicazione che risolve questa criticità, anche se il produttore VideoLAN è già al lavoro su una patch di sicurezza che dovrebbe essere resa disponibile a breve.
L'articolo completo è disponibile QUI.

:ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da System » gio lug 25, 2019 8:51 am


mogano

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da mogano »

non capisco come si possa usare VLC quando c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
Sabato Maiello
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 523
Iscritto il: sab apr 08, 2017 12:01 pm

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Sabato Maiello »

mogano ha scritto: gio lug 25, 2019 3:00 pm c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
Una recensione è disponibile qui (sito amico) http://www.aiutamici.com/software?ID=11118
(Dove per i gusti miei continuerò ad usare VLC)
mogano

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da mogano »

Sabato Maiello ha scritto: gio lug 25, 2019 6:29 pm
mogano ha scritto: gio lug 25, 2019 3:00 pm c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
Una recensione è disponibile qui (sito amico) http://www.aiutamici.com/software?ID=11118
(Dove per i gusti miei continuerò ad usare VLC)
i gusti non si discutono, ho scoperto Potplayer per necessità, ero alla ricerca di un sostituto di VLC perchè su Win 10 non si apriva più, le provai tutte. Ne sono rimasto incantato, stupendo e completissimo, immagini da favola.

Ciao :)
Sabato Maiello
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 523
Iscritto il: sab apr 08, 2017 12:01 pm

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Sabato Maiello »

Certo ;)
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3931
Iscritto il: lun gen 26, 2015 10:13 am

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da CUB3 »

"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da leofelix »

ciao a tutti,
vedo che CUB3 mi ha preceduto, avevo letto ier sera questo thread dal mio tablet.
VLC ( che uso anche io) non è affetto, è stata una cattiva intepretazione di chi ha "scoperto" la stessa.
Qui un articolo in inglese da bleepingcomputer (un sito che seguo da anni e che consiglio a tutti)
https://www.bleepingcomputer.com/news/s ... erability/
Avanti è la vita
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 »

Mi dispiace e scuso per aver inconsapevolmente alimentato la diffusione di una notizia non veritiera, circostanza questa che ha provocato la sorpresa e - giustamente - polemica reazione dello stesso team di VideoLAN (in particolare QUI e QUI) per come la vicenda del falso allarme si è generata.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 »

Una curiosità, per me, su cui chiedo lumi, a questo punto.

Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".

Evidenzio: "libebml before 1.3.6".

Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Immagine

:cofftopic
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
:cofftopic

Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?

Grazie per l'attenzione! :brindisi
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
leofelix
Amministratore
Amministratore
Messaggi: 5130
Iscritto il: mer lug 03, 2013 11:46 am
Località: Bugliano

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da leofelix »

Matilda12 ha scritto: sab lug 27, 2019 11:58 am Una curiosità, per me, su cui chiedo lumi, a questo punto.

Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".

Evidenzio: "libebml before 1.3.6".
Ciao,
posso avanzare delle ipotesi, traggo da https://www.bleepingcomputer.com/news/s ... erability/

Codice: Seleziona tutto

It turns out that the reporting user was using an older version of Ubuntu that includes a vulnerable version of the libeml module.
Linux Mint 19.1 è basato su Ubuntu 18.04 stando a quanto si legge nelle note di rilascio (anche softpedia lo riporta)
https://linuxmint.com/rel_tessa_cinnamon.php

Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.

Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?

Non posso dire altro che non uso distro Linux da tempo e che gira che ti rigira torno ai sistemi di casa Redmond (eccezion fatta per android)

Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce :D

Un saluto a tutti :ciao
Avanti è la vita
Avatar utente
CUB3
Moderatore
Moderatore
Messaggi: 3931
Iscritto il: lun gen 26, 2015 10:13 am

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da CUB3 »

Matilda12 ha scritto: sab lug 27, 2019 11:58 am Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".

Evidenzio: "libebml before 1.3.6".

Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Immagine
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
La libreria installata, anche se nella versione precedente sembra già essere stata "patchata" per correggere la vulnerabilità.
Matilda12 ha scritto: Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?
Linux non è invulnerabile ma la comunità che c'è dietro è molto attiva e le patch per le vulnerabilità note vengono solitamente applicate in maniera tanto più veloce quanto più è grave la vulnerabilità, fatto salvo alcune rare eccezioni. Per cui circoscrivere il problema solo a Linux mi sembra eccessivo anche se sicuramente qualche particolare distribuzione sarà rimasta indietro nel risolvere questa (come altre) vulnerabilità. Detto questo sarei pronto a scommettere che ci sono molti più sistemi Windows con VLC vulnerabile rispetto alle installazioni Linux, non solo per la legge dei grandi numeri (le installazioni Windows sono n volte quelle di Linux!) ma proprio come media e questo non perché sia un problema di Windows ma per l'avversione di molti utenti agli aggiornamenti.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 »

leofelix ha scritto: sab lug 27, 2019 6:40 pm Linux Mint 19.1 è basato su Ubuntu 18.04 stando a quanto si legge nelle note di rilascio (anche softpedia lo riporta)
https://linuxmint.com/rel_tessa_cinnamon.php

Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.

Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?
Assolutamente posso confermare: "Linux Mint 19.1 is based on Ubuntu 18.04" (esattamente il collegamento da te riportato: Release Notes for Linux Mint 19.1 Cinnamon). ;)

Il fatto/problema, e potrei dire una sonora sciocchezza, è che al di là della edizione di Ubuntu (derivata o meno) il repository/canale attraverso cui sono rilasciati gli aggiornamenti dei vari pacchetti ancora contiene la libreria affetta da vulnerabilità.
leofelix ha scritto: sab lug 27, 2019 6:40 pm Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce :D
Gentilissimo! Grazie per la comprensione e solidarietà. Come si dice dalle mie parti (meglio: nel luogo dove lavoro), mi sono sentito proprio un vero ciambotto!!! :( :lol:
leofelix ha scritto: sab lug 27, 2019 6:40 pm Un saluto a tutti :ciao
Un caro saluto a te! A tutti! :brindisi :ciao
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 »

Grazie anche a te CUB3 per la risposta e le spiegazioni! ;)
Mentre postavi, stavo scrivendo anch'io.
Buon fine settimana ... nonostante la pioggia sferzante (almeno dalle mie parti). :)
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Avatar utente
tique
Livello: CD-ROM (4/15)
Livello: CD-ROM (4/15)
Messaggi: 56
Iscritto il: gio mag 08, 2014 2:15 pm

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da tique »

Mogano suggerisce PotPlayer come migliore alternativa a VLC.
Un semplice controllo di PotPlayer con VirusTotal online e poi ne parliamo.
Avatar utente
Matilda12
Livello: Workstation (10/15)
Livello: Workstation (10/15)
Messaggi: 1258
Iscritto il: ven ott 18, 2013 2:18 pm
Località: Marche
Contatta:

Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da Matilda12 »

Comunque, scorrazzando di qua e di là per la rete, questa si è rivelata una vulnerabilità con polemica a rimorchio: "VLC, la vulnerabilità è grave (forse)" fonte Punto Informatico.

Più che una vulnerabilità informatica sembra il racconto di una (presunta) crisi di governo all'italiana ... mah. :s
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: VideoLAN VLC media player: vulnerabilità critica (già nella versione 3.0.7.1)

Messaggio da System » dom lug 28, 2019 1:00 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio