Se Windows genera un errore, hai un problema di virus o vuoi discutere/segnalare l'uscita della nuova versione di un software per la piattaforma Microsoft, questa è la sezione giusta.
La vulnerabilità deriva da una condizione di buffer overflow della memoria heap e affligge la versione più recente di VLC per Windows, Linux e UNIX (probabilmente anche macOS). Se sfruttata con successo, questa vulnerabilità può consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto dell’applicazione affetta o, in caso di tentativi falliti di sfruttamento, di causare condizioni di denial of service.
La vulnerabilità è presente nella versione più recente di VLC, 3.0.7.1, e probabilmente anche in versioni precedenti.
Al momento non è ancora disponibile un aggiornamento dell’applicazione che risolve questa criticità, anche se il produttore VideoLAN è già al lavoro su una patch di sicurezza che dovrebbe essere resa disponibile a breve.
non capisco come si possa usare VLC quando c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
mogano ha scritto: ↑gio lug 25, 2019 3:00 pm
c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
mogano ha scritto: ↑gio lug 25, 2019 3:00 pm
c'è in circolazione POTPlayer che, a mio avviso, è in assoluto il migliore player video che si possa installare.
i gusti non si discutono, ho scoperto Potplayer per necessità, ero alla ricerca di un sostituto di VLC perchè su Win 10 non si apriva più, le provai tutte. Ne sono rimasto incantato, stupendo e completissimo, immagini da favola.
ciao a tutti,
vedo che CUB3 mi ha preceduto, avevo letto ier sera questo thread dal mio tablet.
VLC ( che uso anche io) non è affetto, è stata una cattiva intepretazione di chi ha "scoperto" la stessa.
Qui un articolo in inglese da bleepingcomputer (un sito che seguo da anni e che consiglio a tutti) https://www.bleepingcomputer.com/news/s ... erability/
Mi dispiace e scuso per aver inconsapevolmente alimentato la diffusione di una notizia non veritiera, circostanza questa che ha provocato la sorpresa e - giustamente - polemica reazione dello stesso team di VideoLAN (in particolare QUI e QUI) per come la vicenda del falso allarme si è generata.
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Una curiosità, per me, su cui chiedo lumi, a questo punto.
Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".
Evidenzio: "libebmlbefore 1.3.6".
Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?
Grazie per l'attenzione!
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Matilda12 ha scritto: ↑sab lug 27, 2019 11:58 am
Una curiosità, per me, su cui chiedo lumi, a questo punto.
Ho capito che la vulnerabilità riguarda una libreria (libebml) che si accompagna a VLC e che già dalla versione 3.0.3 di VideoLAN VLC tale libreria incriminata è stata aggiornata.
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".
Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.
Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?
Non posso dire altro che non uso distro Linux da tempo e che gira che ti rigira torno ai sistemi di casa Redmond (eccezion fatta per android)
Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce
Matilda12 ha scritto: ↑sab lug 27, 2019 11:58 am
Nel mio contorto italiano, ho praticamente tradotto quanto scritto QUI (CVE-2019-13615), ossia "libebml before 1.3.6, as used in the MKV module in VideoLAN VLC Media Player binaries before 3.0.3, has a heap-based buffer over-read in EbmlElement::FindNextElement".
Evidenzio: "libebmlbefore 1.3.6".
Ebbene, come regolarmente faccio ogni due o tre giorni, andando oggi ad aggiornare il mio Linux Mint 19.1 Cinnamon x64 ho ottenuto quanto segue:
Questo significa che, nonostante dal repository io abbia potuto scaricare l'ultimo VideoLAN VLC, la libreria sopra incriminata che lo accompagna è ancora quella affetta da vulnerabilità?
Ancora: questo significa che il canale degli aggiornamenti da me utilizzato non ha ancora reso disponibile la libreria dopo la vulnerabilità e dunque, non per colpa di VLC ma di una libreria terza che lo correda, la vulnerabilità in determinati ambienti e sistemi, seppure aggiornati, permane?
Matilda12 ha scritto:
Infine: visto che il presente thread si è sviluppato nella sezione Windows, per non essere completamente off topic, è possibile affermare con ragionevole certezza che la vulnerabilità rimane dentro il perimetro degli ambienti Linux e, in specie, Ubuntu e sue derivate?
Linux non è invulnerabile ma la comunità che c'è dietro è molto attiva e le patch per le vulnerabilità note vengono solitamente applicate in maniera tanto più veloce quanto più è grave la vulnerabilità, fatto salvo alcune rare eccezioni. Per cui circoscrivere il problema solo a Linux mi sembra eccessivo anche se sicuramente qualche particolare distribuzione sarà rimasta indietro nel risolvere questa (come altre) vulnerabilità. Detto questo sarei pronto a scommettere che ci sono molti più sistemi Windows con VLC vulnerabile rispetto alle installazioni Linux, non solo per la legge dei grandi numeri (le installazioni Windows sono n volte quelle di Linux!) ma proprio come media e questo non perché sia un problema di Windows ma per l'avversione di molti utenti agli aggiornamenti.
"Let me tell you a secret: when you hear that the machine is “smart”, what it actually means is that it’s exploitable." Mikko Hypponen
Le versioni più recenti di Ubuntu sono al momento la 19.04 e la 18.04.02 LTS.
Come conseguenza se le cose stanno come sospetto la tua versione di Linux Mint potrebbe basarsi su una versione di Ubuntu non recentissima.
Puoi confermare?
Il fatto/problema, e potrei dire una sonora sciocchezza, è che al di là della edizione di Ubuntu (derivata o meno) il repository/canale attraverso cui sono rilasciati gli aggiornamenti dei vari pacchetti ancora contiene la libreria affetta da vulnerabilità.
leofelix ha scritto: ↑sab lug 27, 2019 6:40 pm
Infine, ho letto che ti scusavi, ma non ne vedo la ragione, anche io fino al giorno prima ero convinto che la vulnerabilità fosse presente, chiunque abbia la sana abitudine di tenersi informato in materia avrebbe pensato lo stesso. Insomma sei in assoluta buona fede.
Anche io adesso, avanzando delle ipotesi, potrei aver detto una montagna di frescacce
Gentilissimo! Grazie per la comprensione e solidarietà. Come si dice dalle mie parti (meglio: nel luogo dove lavoro), mi sono sentito proprio un vero ciambotto!!!
leofelix ha scritto: ↑sab lug 27, 2019 6:40 pm
Un saluto a tutti
Un caro saluto a te! A tutti!
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Grazie anche a te CUB3 per la risposta e le spiegazioni!
Mentre postavi, stavo scrivendo anch'io.
Buon fine settimana ... nonostante la pioggia sferzante (almeno dalle mie parti).
"Facesti come quei che va di notte, che porta il lume dietro e sé non giova, ma dopo sé fa le persone dotte"
Dante (Purgatorio, Canto XXII)
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.