\r\n\r\n
"空は落ちている、今すぐVLCをアンインストールせよ!"というアドバイスが、いくつかのウェブサイトから提供されています。しかし、VLCの欠点は誇張されていると言われており、VLCの開発者によると、本当のリスクではない可能性もあるという。
騒動の発端は、CVE-2019-13615が公開され、スコア9.8で「重要」な脆弱性とされたことで、VLC開発者は、先に発表された欠陥について連絡すらないことに不満があったようだ。
しかし、少なくとも9.8のCVSS脆弱性を公開する前に、自分の情報を確認するか、自分自身を確認することはできたはずです...。
- VideoLAN (@videolan) 2019年7月23日
でも、それって悪いことですよね?10点満点中9.8点のセキュリティ上の欠陥で、まるで差し迫った核攻撃のようなものです。この欠陥により、リモートでコードが実行される可能性があると報告されており、これは悪いことです。攻撃者は、VLCのバグを利用して、あなたのシステムをコントロールすることができます。
CVEが説明するように、この欠陥は、誤ったフォーマットのMKVファイルを再生することを必要とします。理論的には、インターネットから悪意のあるMKVファイルをダウンロードして実行すると、VLCを危険にさらす可能性がありますが、現実にこのようなことが起こったと主張する人はいません。また、macOS版のVLCは影響を受けていないようです。
そのため、欠陥があるように見えても、パッチがリリースされるまでは、信頼できないMKVファイルをダウンロードしたり、VLCで再生したりしないように、MKVファイルには注意する必要があります。もしあなたがメディアを海賊版で入手しているなら、MKVには手を出さないことです。
しかし、そうもいきません!VLCの開発者は、この問題を再現することさえできないと言い、元の脆弱性報告には重大な問題があることを示唆しています。
これ、確認したんですか?この問題は、ここでは誰も再現することができません。
- VideoLAN (@videolan) 2019年7月23日
結局のところ、VLCがこの欠陥を修正するまでは、ダウンロードしたMKVファイルを使用しないのが一番です。でも、本当に必要なのはそれだけで、それすらも少し妄想してしまいます。
VLCの開発者がVideoLANのバグトラッカーで説明している通りです。
"申し訳ありませんが、このバグは再現性がなく、VLCをクラッシュさせることは一切ありません。"-Jean-Baptiste Kempf(ジャン・バティスト・ケンプフ)氏
"VLCに重大な欠陥があるとするニュース記事を通じてこのチケットにたどり着いた方は、まず上記のコメントを読み、(偽の)ニュースソースを再確認することをお勧めします。"-フランソワ・カルテニエ
「VLC 3.0.7.1の正常なリリースがクラッシュすることはありません。
更新:VideoLANからのもっと長い回答です。開発者によると、現在のVLCソフトウェアには全く欠陥がないとのことです。
つまり、ある報告者がバグトラッカーにバグを報告したのですが、それは報告ポリシーから外れているため、別名、セキュリティ・エイリアスにプライベートでメールを送ってくださいということです。もちろん、バグトラッカーは公開されています。
もちろん、私たちはこの問題を再現することができず、そのセキュリティ研究者と個人的にコンタクトを取ろうとしました。
- VideoLAN (@videolan) 2019年7月24日