Opinion Brawte nfaq 0 Comments

不正動画はVLCのセキュリティ欠陥を突いてPCを乗っ取る可能性があると米国とドイツが警告。ソフトウェアメーカーはこうした主張に納得していない

Table of Contents

不正動画はVLCのセキュリティ欠陥を突いてPCを乗っ取る可能性があると米国とドイツが警告。ソフトウェアメーカーはこうした主張に納得していない

アップデートされたVLC は、再びリモートコード実行に対して脆弱であると言われています。つまり、このソフトウェアで開かれた罠の仕掛けられたビデオによって、メディアプレーヤーがクラッシュしたり、悪用されてホストマシン上でマルウェアが実行されたりする可能性があるということです。

しかし、文字通り数十億回ダウンロードされ、数え切れないほどのネットユーザーによって使用されているオープンソースアプリケーションの開発者は、この主張に異議を唱え、プログラミング上のミスを悪用することは不可能だと主張している。

米国政府のNIST(国立標準技術研究所)は今月、CVE-2019-13615で指定された「重大な」ヒープベースのバッファオーバーリード脆弱性を文書化しました。この脆弱性は、VLCの最新公式バージョンである3.0.7.1に存在し、未修正であるとされています。この脆弱性は、VLCプレイヤーのLinux、Unix、Windowsビルドに存在するとのことです。

NISTによると:

ドイツの CERT と NIST はともに、データベース内の欠陥を危険かつ悪用可能なものとして記録しているが、VLC の開発者は、この脆弱性に対するパニックにブレーキをかけている。

まず、これは境界外読み取りであると思われるため、リモート コード実行に活用することは不可能である可能性があります。

CVE-2019-13615に関するバグ追跡チケットにおいて、VideoLANの主任開発者であるJean-Baptiste Kempf氏は、4週間前にセキュリティ研究者から提供された概念実証用の.MP4ビデオを用いてクラッシュを再現できなかったと述べています。このビデオはVLCの最新バージョンである3.0.7.1をクラッシュさせるはずでした。また、以前の3.0.6や、3.0.8などの開発中のリリースでもクラッシュさせることはできなかったと報告しています。

「このバグはVLC 3.0.7.1の通常リリースではクラッシュしません」とケンプフ氏は付け加えた。「申し訳ありませんが、このバグは再現性がなく、VLC自体をクラッシュさせることはありません。」

VLC 開発者の Francois Cartegnie 氏は、本日、より率直に次のように述べました。「VLC に重大な欠陥があると主張するニュース記事を通じてこのチケットにたどり着いた場合は、まず上記のコメントを読んで、(偽の) ニュースソースを再検討することをお勧めします。」

チューリッヒのアップルストア

2019年になっても、ウェブサイトを使えばiPhoneを乗っ取ることができる:Appleは7月のセキュリティホール公開でiOSとMacのバグを修正

続きを読む

The RegisterがLinux上でVLCバージョン3.0.7 Vetinari(3.0.7-0-g86cee31099)で概念実証用の.MP4ファイルを再生しようとしたところ、プレーヤーはセグメンテーション違反でクラッシュしました。そのため、Kempf氏が「クラッシュしない」と言った意味(確かにクラッシュはするのですが)と「バグが再現できない」と言った意味が、リモートコード実行が不可能か可能かという点について混乱が生じています。

クラッシュの原因となった.MP4ファイルは、VLCに対して自動バグ検出ファジングツールを実行した結果生成されたものと思われます。El RegはVideoLanのVLC開発者にこの件に関する追加コメントを求めており、回答が得られ次第記事を更新する予定です。

この欠陥が確認されるかどうかに関わらず、この衝突は、VLC などのメディア プラグインやプレーヤーにはセキュリティ上の脆弱性が含まれる可能性があり、実際に含まれていたため、ハッカーがコード内のバグを悪用する試みを阻止するために定期的に更新する必要があることをユーザーと管理者に思い出させるものとなるはずです。

今年初め、Appleのベテランセキュリティ研究者であるパトリック・ウォードル氏は、VLCをはじめとするレガシーアプリケーションが、攻撃者がmacOSの新しいセキュリティ保護を回避しようとする際の侵入口として悪用される可能性があることを解説しました。このシナリオでは、ソフトウェア自体に脆弱性があるわけではなく、悪意のあるプラグインがシステムの機密コンポーネントにアクセスできるようにする権限が付与されているという状況です。このメディアプレーヤーのメーカーは最近、バージョン3.0.7.1をリリースし、VLCの複数の脆弱性を修正しました。®

追加更新

VLCの開発者は、自分たちに責任はなく、ソフトウェア自体に脆弱性はなく、修正すべき点もないと主張しています。メディアプレーヤーの最新バージョンと最新ライブラリを使用すれば、問題は解決するはずです。問題はlibebmlにあり、1年以上前にリリースされたバージョン1.3.6以降で修正されています。

したがって、古い libebml を使用する Linux ディストリビューションによってパッケージ化された VLC のコピーでは、少なくとも概念実証の .MP4 ビデオではクラッシュが発生します。

つまり、リモートコード実行の可能性は低く、クラッシュの可能性はありますが、それはVLCで古いlibebmlを使用している場合のみです。これらのソフトウェアの最新バージョンを使用すれば、問題は解決します。

現在、このすべての責任は誰にあるかについて激しい議論が巻き起こっている。政府機関が重大度を二重チェックせずに警告を出したからなのか、libebml の保守管理者が CVE 識別子を取得せず、バージョン 1.3.6 をセキュリティ修正としてフラグ付けしなかったために Linux ディストリビューションがアップデートを採用しなかったからなのか、それとも VLC がサードパーティ ライブラリの状態を把握していなかったからなのか?

NIST とドイツの CERT はその後、勧告のレベルを引き下げました。

Opinion

Smart Recommendations

Discover More