VLCプレイヤーに重大な脆弱性が報告されるも、原因は「libebml」と呼ばれるサードパーティのライブラリにあり?すでに問題は修正済みとVLC側は主張

VLCプレイヤーに重大な脆弱性が報告されるも、原因は「libebml」と呼ばれるサードパーティのライブラリにあり?すでに問題は修正済みとVLC側は主張 news
スポンサーリンク

無料の動画プレイヤーとして絶大な人気を誇る「VLC」メディアプレイヤーですが、現在重大な脆弱性が発見されたとして大きな話題となっています。

この問題は「CVE-2019-13615」の公開から始まりました。この報告によれば、脆弱性は最大10のスコアうち9.8という「重大」な脆弱性とされています。この脆弱性が悪用されるとリモートでコードが実行されたり、情報漏洩、ファイル操作などを実施される危険性があります。

GIZMODOでは修正パッチがリリースされるまで「VLC」のアンインストールが推奨されていますが、ちょっと今回の騒動は気になる部分があるのです。

【追記】Gigazineさんが【「VLCメディアプレーヤーに重大な脆弱性を発見」は誤報であると開発元のVideoLANが声明を発表】という記事をアップしてくれています。やはり今回の脆弱性報道は誤報のようです。

スポンサーリンク
スポンサーリンク

脆弱性の問題についてVLC側が反論。問題はVLCではなくサードパーティのライブラリにあり?

英語に疎い管理人なので間違っていたら指摘していただきたいのですが、まず最初に気になったのが以下の英語サイト。

このサイトによれば、VLCをアンインストール必要はないし、動画をダウンロードして再生するのに注意する必要はあるかもしれないが、それすら妄想的かもしれないと指摘しています。

 

次にVLC開発者向けの「bug tracker」を読むと、すでにスレッドは閉じられ【fixed(修正済み)】となっていました。そこでは以下の最終コメントが。

Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago…

Ubuntu 18.04のlibebmlは古すぎる:libebml 1.3.6でこの問題は修正されている。 ストーリーの終わり:これは3.0.7.1であっても3.0.4であっても、VLCは脆弱ではありません。 この問題はサードパーティのライブラリにあり、VLCバイナリバージョン3.0.3で1年以上前に修正されています…

 

そして以下のVLCのTwitterスレッドを読んでみてください。

以下、スレッドの機械翻訳を添付しておきます。

#VLCの「セキュリティ問題」について:VLCは脆弱ではありません。 tl; dr:この問題はlibebmlというサードパーティのライブラリにあり、16か月以上前に修正されています。 バージョン3.0.3以降のVLCには正しいバージョンが出荷されており、@ MITREcorpは彼らの主張をチェックさえしませんでした。

それで、あるレポーターが私たちのバグトラッカーにバグをオープンさせました。それは報告ポリシーの外側にあります、別名、私たちに機密保護の別名で私達にメールで送ってください。 もちろん、私たちのバグトラッカーは公開されています。 もちろんこの問題を再現することはできず、セキュリティ研究者に非公開で連絡を取ろうとしました。

レポーターはUbuntu 18.04を使用しています。これはUbuntuの古いバージョンで、明らかにすべての更新されたライブラリを持っているわけではありません。 しかし、私たちの質問には答えませんでした。

どんな理由であれ、私たちには知られていないので、@ MITREcorpは私達に話すことなく、CVEを発行することにしました。 これは、独自のポリシーに直接違反しています。https://cve.mitre.org/cve/researcher_reservation_guidelines#researcher_reservation_guidelines#1

これが@MITREcorpで初めてのことではありません。 実際、彼らはVLCでセキュリティ問題を見つけたときに決して私達に連絡しません、そして私たちは常に彼らが公開した後、ユーザーやディストリビューションが私達に尋ねたときにそれを発見します。

私たちが文句を言って、自分のCVEを管理できるかどうかを尋ねたところ(別のCNAと同じように)、私たちは答えがないと@usnistgov NVDは基本的に何もできないと言っていました。

そしてこれは何年も続いています:VLCのほとんどすべてのCVEはCVSSを完全に狂わせています、それは私たちが見たもののような記事をもたらします。

VLCはサーバーでRCEを実行してマシンを危険にさらすことができますが、悪用できない読み取りオーバーフローはCVSS 9.8になりますが、ほとんどの場合、問題はユーザーがHASしたローカルファイルを手動で開いた際のクラッシュです。 

そしてもちろん、それらは修正されることはありません。

その後、今回は何らかの理由で、@certbundhttps://www.cert-bund.de/advisoryshort/CB-K19-0634 …クラッシュ(それは難しいことではありません)、または脆弱性をチェックすることなく、または私たちに連絡することなく、アドバイザリを行うことにしました。

そしてもちろん、@certbundは明確化のために私たちに連絡しませんでした。

そのため、@certbundが「開示」することを決定したとき、何もチェックせず、私達に連絡することなく、すべてのメディアが飛び込んできました。

その他、そしてもちろん、@ Gizmodoは「VLCを今すぐアンインストールするか、さもなくばあなたは全員死にたいですか」というクリックバイトをすることにしました。 もちろん、@ Gizmodoは情報をチェックするためにまったく連絡を取りませんでした。 そして、私たちはVLCの不安について何百という記事を入手しました。

あなたはそれらのどれも彼らの記事を修正しないか、それはどこかに隠された小さなサブTweetの中にあることを賭けることができます。

それはまだ@Gizmodoのフロントページにあります。 あなたが@Gizmodoで働いているなら、あなたは少し恥ずかしくありませんか?

@BFMTVはもちろん、60%のばかげた修正が行われたことで参加しました。これは、レポーターが公開バグトラッカーに追加したものです…

そして最後に、@ usnistgov NVDと@MITREcorpの両方が12時間以上(7pm CET)連絡されましたが、私たちはまだ回答を待っています。

マイクロソフトや他の大企業であれば、@ MITREcorpは同じように動作しますか? しかし、いいえ、私たちはほんの小さな非営利団体です。フルタイムで誰かに支払うお金さえないのです。

スレッド終わり。

 

続報を待ちたい。

今回のVLC脆弱性問題、個人的には続報を待ちたいと思います。

そもそも「CVE-2019-13615」では重大な脆弱性と指摘されていますが、この脆弱性を再現するには不正な細工が施されたAVI/MKVファイルの再生が必要とされています。理論的には、悪意のあるAVI/MKVファイルをWebからダウンロードする、もしくはストリーミングで再生するなどしなければ、今回の脆弱性が本当だとしても影響を受ける可能性は少ないでしょう。

■ネット上で怪しいサイトなどから動画データをダウンロードしない。
■ブラウザで動画を再生しない。信頼できないサイトにアクセスしない。もしくはVLCブラウザプラグインを無効にする。
■メールなどで送付された動画データは開かない。

以上の3点については、今回のVLCに関する続報が入るまでは一応注意してください。また、VLC 3.0.7.1 (Linux版、UNIX版、Windows版)での報告であり、macOS向けのVLCは問題ないようです。
勿論、全くVLCを使っていないし今回の件が気になるのであれば、アンインストールするというのも一つの手段ではあります。

なお、上記の情報は管理人の拙い英語読解力、および機械翻訳によるものです。もしも間違い等あれば、コメントなどで指摘していただけると助かります。

個人的に「VLC」は、無料でどんどんアップデートが行われ、非常に重宝しているメディアプレイヤーです。今回の件が速やかに収束することを願います。

 

【追記】その後Gigazineさんが今回の経緯をまとめた記事をアップしてくれています。やはり今回の脆弱性については誤報の可能性が高そうです。当サイトもなるべく記事アップ時には一時ソースを確認し、正しい情報提供が出来るように努めていきたいと思います。

コメント