Уязвимость VLC – то ли есть, то ли нет

Национальный институт стандартов и технологий США (NIST) сообщил о наличии критической уязвимости в популярнейшем медиаплеере VLC. Проблема связана с переполнением буфера при работе с динамической памятью и может повлечь за собой неприятности самого разного рода – от прерывания работы программы до возможности удаленного исполнения злоумышленниками вредоносного кода на пользовательских устройствах. Уязвимость присутствует в последней версии медиаплеера – 3.0.7.1. Если учесть, что счет загрузок VLC идет, без преувеличения, на миллиарды, масштаб проблемы представляется весьма серьезным.

В качестве подтверждения исследователи создали демонстрационный видеоролик в формате MP4, способный эксплуатировать уязвимость. Выводы американских коллег подтвердили и специалисты немецкого центра реагирования на киберугрозы (CERT). Однако представители организации VideoLAN, стоящей за созданием и поддержкой VLC, отрицают наличие уязвимости. Как заявил ведущий разработчик VideoLAN Жан-Батист Кемпф, он лично запускал ролик, предоставленный исследователями и предназначенный для эксплуатации уязвимости, на различных версиях VLC, включая и самую последнюю, и ни в одном случае не наблюдал ни прерывания работы, ни каких-либо иных последствий. На этом основании Кемпф назвал результаты исследования NIST не воспроизводимыми и потому недостоверными.

Еще более запутанной делает ситуацию сообщение ресурса The Register. Его исследователи также запустили демонстрационный видеоролик на версии VLC 3.0.7 – и констатировали прерывание работы программы. В итоге совершенно неясно, существует ли уязвимость медиаплеера, и ждать ли от разработчиков выпуска обновления, которое может ее ликвидировать (если она все-таки есть).


Источник:  The Register

Возврат к списку