VLCメディアプレーヤーはハッカーに脆弱ですか？

VLCメディアプレーヤーに「重大なセキュリティ問題」、VideoLANはセキュリティ欠陥が修正されたと述べる

VLCメディアプレーヤーは、人気のあるマルチプラットフォームメディアプレーヤーで、ハッカーがコンピュータを乗っ取り、ファイルを見ることを可能にする重大な脆弱性があると、セキュリティ研究者が主張しています。

関連 - VLCメディアプレーヤーのベスト5の代替品

セキュリティ欠陥CVE-2019-13615は「重大」と呼ばれ、ドイツの国家コンピュータ緊急対応チーム（CERT Bund）によって特定されました。この脆弱性は、研究者によると、Linux、UNIX、およびWindows版のVLCメディアプレーヤーのバージョン3.0.7.1に影響を与えます。

この脆弱性はRCE（リモートコード実行）を可能にし、ハッカーがユーザーの同意なしにターゲットマシン上で悪意のあるコードをインストール、実行、実行したり、ファイル/データを変更したりすることを可能にします。また、ホストシステム上のファイルを開示するためにも使用される可能性があります。

この欠陥は、ユーザーが悪意のあるMKVビデオファイルを再生することを必要とし、その後VLCプレーヤーがクラッシュし、妥協されると言われています。CERT-Bundは、NISTの国家脆弱性データベースでの基本的な脆弱性スコアを10点中9.8と評価しました。

VLCのリード開発者ジャン＝バティスト・ケンプフによると、このバグは過去4週間にわたりVideoLANのウェブサイトにオープンのままでした。しかし、問題は再現できず、VLC 3.0.7.1の通常版はクラッシュしないとケンプフは付け加えました。

VideoLANのフランソワ・カルテニは警告しています：

このチケットに重大な欠陥があると主張するニュース記事を通じてたどり着いた場合は、まず上記のコメントを読んで、あなたの（偽の）ニュースソースを再考することをお勧めします。

VideoLANチームのTwitterハンドルも、脆弱性のニュースを共有したCVEチームとMITREを非難しました：

こんにちは @MITREcorp と @CVEnew、あなたが数年間VLCの脆弱性について私たちに連絡を取らなかったという事実は本当に良くないですが、少なくともあなたは情報を確認するか、9.8 CVSSの脆弱性を公に送信する前に自分自身を確認することができたはずです… — VideoLAN (@videolan) 2019年7月23日

これを確認しましたか？ ここでこの問題を再現できる人はいません。 — VideoLAN (@videolan) 2019年7月23日

今朝早く、VideoLANはTwitterで、VLCはCERT-Bundが報告したように脆弱ではないことを明らかにしました。VLCの製作者によると、問題は「libebml」と呼ばれるサードパーティライブラリにあり、16か月以上前に修正されました。また、VLCはバージョン3.0.3以降、修正されたバージョンを搭載しており、MITREの主張はVLCの以前の古いバージョンに基づいていると付け加えました。

#VLCの「セキュリティ問題」について：VLCは脆弱ではありません。
tl;dr：問題はlibebmlというサードパーティライブラリにあり、16か月以上前に修正されました。
VLCはバージョン3.0.3以降、正しいバージョンが出荷されており、@MITREcorpは自分の主張を確認すらしていませんでした。スレッド： — VideoLAN (@videolan) 2019年7月24日

VLCの問題は、国家脆弱性データベースでの脆弱性スコアが9.8から5.5に引き下げられ、「被害者は攻撃メカニズムと自発的に相互作用する必要がある」と明記されています。VideoLANの公開バグトラッカーの関連エントリも、問題が修正されたとリストされています。

VLCメディアプレーヤーが脆弱であると主張する報道に反応して、ケンプフは「それは狂気です。人々は『VLCをアンインストールする必要がある』と言っています。それは事実を確認しない通常の人々です。」と述べました。

関連：Windows 10用のベスト無料メディアプレーヤー10選

言い換えれば、VLCメディアプレーヤーをアンインストールする必要はなく、VideoLANはすでにセキュリティ欠陥を修正するパッチをリリースしています。ただし、ソフトウェアが常に定期的に更新されていることを確認することが推奨されます。さらに、メディアプレーヤーで信頼できないMKV形式のファイルを再生することは避けてください。現在のVLCのバージョンは3.0.7.1です。