德国的计算机紧急应变中心(CERT)于7月24日警告,VLC媒体播放器(VLC Media Player)含有一个编号为CVE-2019-13615的安全漏洞,允许黑客自远程执行任意程序。然而,打造该播放器的VideoLAN隔天就澄清,该漏洞是藏匿在第三方的模块中,且已于16个月以前便修补,更抨击管理CVE编号的MITRE Corporation,在完全没有向VideoLAN求证的情况下,就发布了该漏洞编号。
VLC为一开源且跨平台的媒体播放器,不仅支持Windows、Linux及macOS等桌面平台,也支持Andorid与iOS等移动平台,其全球累积下载次数已超过31亿次。
根据德国CERT的警告,CVE-2019-13615为一堆积溢出漏洞,只影响桌面版的VLC Media Player,但波及最新的3.0.7.1版。
不过,VideoLAN隔天通过官方Twitter帐号澄清了此事,并将炮火指向MITRE。VideoLAN解释,有漏洞的并非是VLC Media Player,而是一个名为libebml的第三方函数库,且已于16个月前修补,VLC Media Player早就在3.0.3版解决该漏洞,而MITRE却毫不检查就颁发漏洞编号。
VideoLAN说,他们无法重现该漏洞,于是联系了发现该漏洞的研究人员,才知道对方使用了旧版的Ubuntu 18.04,也因此有许多未更新的函数库。
VideoLAN并未指责德国CERT或提报的研究人员,而是把炮火指向MITRE,抨击MITRE既未向VideoLAN求证,也未联系VideoLAN,直接就发布了漏洞编号,还说MITRE素行不良,在发布有关VLC的安全问题时,从来没有知会过VideoLAN,他们都是在用户或传播平台的通知下才知道的,MITRE明显违反自己的管理政策。
MITRE为一美国的非盈利组织,它负责管理支持许多美国政府机构的各种研发中心,也负责维护通用漏洞披露(CVE)系统与通用缺陷列表(CWE)项目。
在遭到VideoLAN抗议之后,MITRE已经默默地更新CVE-2019-13615,澄清它是位于libebml函数库的漏洞,且已于VLC Media Player 3.0.3中修补。