“하늘이 떨어지고 있습니다. 지금 VLC를 제거하십시오!” 이것이 일부 웹 사이트가 제공하는 조언입니다. 그러나 VLC의 결함은 과장되어 VLC 개발자에 따르면 실제 위험은 아닐 수도 있습니다.
이 공모는 모두 CVE-2019-13615의 출판으로 시작되었습니다. CVE-2019-13615는 10 점 만점에 9.8 점으로 “중요”취약점으로 표시되었습니다. VLC 개발자는이 결함을 발표하기 전에 연락을 받지도 않은 것에 대해 기뻐하지 않습니다. .
야 @MITREcorp 과 @CVEnew , 출판 전에 몇 년 동안 VLC 취약점에 대해 절대 저희에게 연락하지 않았다는 사실은 결코 멋진 것이 아닙니다. 적어도 9.8 CVSS 취약점을 공개적으로 보내기 전에 정보를 확인하거나 자신을 확인할 수 있습니다…
— VideoLAN (@videolan) 2019 년 7 월 23 일
하지만 나쁘지 않나요? 보안 결함이 진행됨에 따라 핵폭발이 발생하는 것처럼 들립니다. 이 결함으로 인해 원격 코드 실행이 발생할 수 있으며 이는 나쁜 것입니다. 공격자는 VLC의 버그를 통해 시스템을 제어 할 수 있습니다.
CVE가 설명 하듯이이 결함은 조작 된 MKV 파일을 재생해야합니다. 이론적으로 웹에서 악의적 인 MKV 파일을 다운로드하여 실행하면 실제로는 VLC가 손상 될 수 있지만 VLC가 손상 될 수 있습니다. 또한 macOS 버전의 VLC는 영향을받지 않는 것 같습니다.
따라서이 결함이 나쁜 것처럼 보일지라도 MKV 파일에주의해야합니다. 패치가 해제 될 때까지 신뢰할 수없는 MKV 파일을 다운로드하여 VLC에서 재생하지 마십시오. 미디어를 불법 복제하는 경우 MKV를 멀리하십시오.
그러나 그렇게 빠르지 않습니다! VLC 개발자들은이 문제를 재현 할 수 없다고 말하며, 원래의 악용 보고서에 심각한 문제가 있음을 시사합니다.
이것을 확인 했습니까?
아무도이 문제를 여기서 재현 할 수 없습니다.— VideoLAN (@videolan) 2019 년 7 월 23 일
하루가 끝나면 VLC가이 결함을 패치 할 때까지 다운로드 된 MKV 파일을 피하는 것이 좋습니다. 그러나 이것이 당신이 정말로해야 할 전부이며, 심지어 그 종류의 편집증이기도합니다.
VLC 개발자는 VideoLAN 버그 추적기에 대해 설명합니다.
“죄송하지만이 버그는 재현 할 수 없으며 VLC에 전혀 영향을 미치지 않습니다.” -B 밥 티스트 켐프
“VLC의 중대한 결함을 주장하는 뉴스 기사를 통해이 티켓을 구매하는 경우 먼저 위의 의견을 읽고 (가짜) 뉴스 소스를 재고하는 것이 좋습니다.” -프랑코 아 카르 테니
“이것은 VLC 3.0.7.1의 일반 릴리스와 충돌하지 않습니다”-Jean-Baptiste Kempf
최신 정보: VideoLAN의 응답 시간이 더 길어졌습니다. 개발자에 따르면 현재 VLC 소프트웨어에는 전혀 결함이 없습니다.
그래서 기자는보고 정책 이외의 버그 트래커에 버그를 열었습니다.
물론, 우리의 버그 추적기는 공개적입니다.물론 문제를 재현 할 수 없었으며 보안 연구원에게 개인적으로 연락을 시도했습니다.
— VideoLAN (@videolan) 2019 년 7 월 24 일
