Un nuevo fallo de seguridad crítico afecta al popular reproductor multimedia VLC, con una puntuación alta, la vulnerabilidad ha sido categorizada como crítica, y aunque se está trabajando en una solución de momento no hay parches disponibles.
Windows: Not reproducible in 3.0.6 win64, 3.0.7.1 win64 or nightly 4.0.0-20190723-0832 win64 either.
comment:10 Changed 6 horas ago by Jean-Baptiste Kempf
#10:
Solo afecta a Linux. Tienes que reproducir un MKV o AVI malicioso. Y además seguirías protegido por la seguridad de Linux y no podrían modificar nada del sistema, salvo que lo ejecutes como su claro...
Tampoco se han registrado casos donde se haya usado la vulnerabilidad.
No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad.
#6:
#3 A ver, tu sabes que somos meneantes, el pito no lo metemos mas que en la cavidad que forma la palma de nuestra mano.
Windows: Not reproducible in 3.0.6 win64, 3.0.7.1 win64 or nightly 4.0.0-20190723-0832 win64 either.
comment:10 Changed 6 horas ago by Jean-Baptiste Kempf
#12 Pues si usas linux tienes muuuuchas probabilidades de verte afectado por muuuuchas más vulnerabilidades diferentes a esta que si usas es windows.
A ver si dejamos el rollo este de "A mi no me afecta, uso linux" que siempre sale en cada meneo sobre un bug en windows, que luego lo repites con linux y siempre sale un excusándose como tú. Parece que te haya ofendido.
#13A ver si dejamos el rollo este de "A mi no me afecta, uso linux" que siempre sale en cada meneo sobre un bug en Windows.
No me has ofendido. Disculpa el tono si he dado esa impresión.
Pero, ¿no crees que me estás acusando de lo mismo que has hecho en tu primer comentario, cambiando "linux" por "Windows"?
#2 The heap-based buffer over-read bug, found in VLC's mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp protocol when called from mkv::Open in modules/demux/mkv/mkv.cpp, is potentially as severe as it gets.
"A remote, anonymous attacker can exploit the vulnerability in VLC to execute arbitrary code, cause a denial-of-service condition, exfiltrate information, or manipulate files," as noted by ESET.
The vulnerability is known to exist in the latest version of VLC on Windows, Linux, and Unix machines, but it is possible the bug is also present in past builds.
título: VLC: la vulnerabilidad permite eludir las restricciones de seguridad
fecha: 07/24/2019
software: VLC de código abierto 3.0.7.1
plataforma: Linux, UNIX, Windows
#29 El fallo estaba en la librería C++ de terceros "libebml" que parsea ficheros EBML. La compilación de VLC para Windows incluye esta librería, así que está igualmente afectado. Otra cosa es lo que han posteado los desarrolladores de VLC, según los cuales a partir de la versión 3.0.3 el error está parcheado. Pero lo uno no quita lo otro.
#34 Sí, también puedes remontarte a la versión beta, seguro que encuentras más fallos pero si coges la versión actual te encontrarás conque linux está afectado pero windows no.
P.D: ¿Qué sabrán los desarrolladores? a ellos ni caso, mejor hagámos caso a los periodistas.
#35 A ver, lo que tú venías a decir es que afectaba a Linux pero no a Windows, lo cual es del todo erróneo: en este caso concreto afecta indistintamente a ambos SSOO, el motivo técnico ya lo expliqué.
Los desarrolladores también meten la pata, no creas.
Cómo será la cosa que en el mismo enlace que enviabas, Jean-Baptiste Kempf abroncaba al creador del hilo...
Changed 3 horas ago by Jean-Baptiste Kempf
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
Changed 3 horas ago by Jean-Baptiste Kempf
Note: if you report a security issue, at least update your linux distribution.
#36Todas las versiones de windows actuales tienen la librería actualizada con el parche aplicado, entonces no son vulnerables. Si te remontas a versiones antiguas, pues venga, vayamos a la beta de VLC y encontrarás un montón de bugs pero estará usted haciendo el gilipollas del mismo modo que si yo me descargo tu enlace, porque puestos a hacerlo, descarguemos la beta de linux y tendrás que en linux estará afectado por un porrón de bugs. La versión actual es la 3.0.7, no la 3.0.3.
Algunas distribuciones actuales de Linux han actualizado VLC pero NO la librería libebml, entonces sí son vulnerables, las actuales, no las del pleistoceno como pretendes en windows.
#37 Lo mismo de arriba y añado que son varias las personas que están confirmando que en windows la versión actual, no esa del pleistoceno, no está afectada, sin embargo en linux sí. Los desarrolladores meterán la pata pero estamos hablando de algo que se está estudiando y revisando por varias personas, si hubiesen metido la pata ya se habrían dado cuenta y rectificado.
El motivo técnico es tan obvio que ni hace falta explicarlo.
#38 Los hechos probados y demostrables son:
Si instalaste VLC en Windows antes del 29/05/2018(anterior a 3.0.3) y no lo has actualizado eres vulnerable.
Si tu distribución de Linux tiene vlc enlazado contra una versión anterior a libebml 1.3.6 eres vulnerables (ubuntu 18.04 es vulnerable actualmente pero no en 19.04).
Si en Linux utilizas la versión oficial actual de VLC
Si instalaste VLC en Windows antes del 29/05/2018 y lo abres, si tienes internet, te saltará la actualización y actualizarás a la nueva versión, ergo, en windows no eres vulnerable.
Si tienes una distribución de linux en el que VLC está afectado, cuya librería no tiene actualización disponible, abrirás VLC, ejecutarás sudo apt-get update/upgrade, le pondrás una vela a Santa Rita y otra a Santo Tomás y no te saldrá nada porque nada hay, ergo, en linux eres vulnerable.
Por eso en windows el problema ya está resuelto, llega conque actualices, mientras que en linux no está resuelto y tienen una incidencia abierta.
P.D: no, no llega con instalar la versión actual de Linux descargada de videoland.org
#42 Puntualizando:
La actualización del VLC en windows es "manual", si le dices actualizar te abre el navegador a la pagina de descargas y usted debe proceder manualmente con una nueva instalación.
La actualización en el caso de Ubuntu 18.04 es la siguiente en terminal:
sudo apt remove vlc
sudo add-apt-repository ppa:videolan/stable-daily
sudo apt update
sudo apt install vlc
Como alternativa (recomendada por VLC) puede hacerlo vía snap con
mas sencillo que en Windows.
La solución del problema es idéntica en Windows y Linux.
#43 Corrección: O mucho me falla la memoria o en windows la actualización no es manual sino que te salta una ventana avisándote y preguntándote si quieres actualizar, y si aceptas, la instalación se descarga e instala sola.
Pero aunque fuera como tú dices ¿te parece más cómodo escribir todo eso que hacer clic clic clic?
Aún así, la cuestión no está en lo fácil que sea descargarse la actualización sino en enterarte de que existe tal actualización. En windows, aunque fuese manual, te avisa cuando abres VLC y te enteras y se descarga la actualización con la librería correcta. En linux, por contra, ni siquiera es problema de actualizar el VLC sino de que se actualice la librería independiente pero que usa VLC, así que puedes tener el VLC perfectamente actualizado que si tu linux no actualizó la librería, eres vulnerable.
#44 Como parece que desconoce como funciona snap voy a tratar de explicarle.
Para instalar por ejemplo vlc puede empezar por
Click sobre "Snap Store", abrir enlace y luego en la aplicación "Software" click en instalar. Por ultimo pones la contraseña y ya.
Esa instalación NO utiliza las librerías del sistemas puesto que es igual de ineficiente que Windows, cada aplicación coloca sus librerías independientemente. Este método es el recomendado por VLC y no es vulnerable desde que salio la versión 3.0.3, igual que windows.
El proceso de instalación es similar con la excepción de que si en Windows no tiene contraseña solo saldrá el UAC cuando le da a "ejecutar" el enlace.
Las actualizaciones de snap se notifican estilo android, en un "push" de la barra y se centralizan con la aplicación software.
#45 Como parece que lo único que busca usted es llevar la razón a toda costa, le voy a recordar que los paquetes snap son del otro día, de hace más o menos tres años, y que la forma más habitual de instalar VLC en linux no es a través de los paquetes snap, así que estás jodido igualmente por mucho que exista ese grande y hermoso invento llamado Snap, que si no lo usas o usaste en su día, pues te da igual y hay gente que tiene una instalación linux más antigua que tres tristes años.
Así que gracias por explicarme lo obvio pero no lleva usted razón.
#38 Te lo explica perfectamente #40, otra cosa es que no lo quieras entender.
El exploit afectaba de la misma manera a Windows y a Linux, tanto en ámbito como en tiempo: librería de terceros que se linkaba al compilar. Punto.
La noticia era errónea, VLC lo desmintió y posteriormente los autores del artículo han publicado una actualización, rectificando lo más dignamente que han podido.
El desarrollador que tanto ponías como ejemplo también se dio cuenta de que el exploit no era reproducible en ninguna versión actualizada de VLC, independientemente de su S.O. y cerró el hilo no sin antes afear a quien reportó la vulnerabilidad que no contase con una distribución de Ubuntu actualizada.
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
...
Note: if you report a security issue, at least update your linux distribution.
Lo periodistas rectifican la noticia, los de VLC sacan explican el error y los desarrolladores ratifican/respaldan a los de VLC, no sé qué más hace falta para convencerte te has columpiado despotricando contra Linux, en base a una noticia errónea.
#47 en windows todas las instalaciones de VLC vienen con sus propias librerias asi que si actualizas VLC, arreglas el problema, por tanto windows no esta afectadl.
En linux, segun como lo instales y en que distribucion, VLC puede usar su version de libreria parcheada o de libreria compartida que si la distribucion no la tiene actualizada, eres vulnerable, por eso linux es vulnerable y por eso tienes pruebas de como las ultimas versiones de VLC sufrian el problema.
Lo que tu pegas en negrita te esta diciendo que VLC empaquetado, completo, con su propia libreria esta a salvo, pero te olvidas del otro caso, del que tira de librerias del sistema, por tanto estas equivocado otra vez.
#2 Pues resulta que si están afectadas algunas versiones del vlc en Win, concretamente las anteriores a 3.0.3 puesto que el problema esta en una librería parcheada hace 16 meses (libebml). Todas las versiones en estático con esa librería están afectadas.
Por supuesto todos los VLC de linux linkados en dinámico contra versiones vulnerable de la librería igualmente son vulnerables.
#33 Vuelvo a insistir por si no conoce como funcionan la librerías de software.
Versiones anteriores de VLC a 3.0.3 para windows tienen esa vulnerabilidad porque incluyen la librería con el problema.
Por supuesto que no se reproduce en el VLC 3.0.6 oficial para windows porque la librería incluida esta parcheada.
Algunas distribuciones de Linux han actualizado VLC pero NO la librería libebml.
Solo afecta a Linux. Tienes que reproducir un MKV o AVI malicioso. Y además seguirías protegido por la seguridad de Linux y no podrían modificar nada del sistema, salvo que lo ejecutes como su claro...
Tampoco se han registrado casos donde se haya usado la vulnerabilidad.
No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad.
#10 En cuanto a "y no podrían modificar nada del sistema, salvo que lo ejecutes como su claro" A mi siempre me molestó esa afirmación porque a mi me jode bastante más que accedan, cifren, borren o hagan lo que quieran con "mis documentos" a los cuales accedes sin root, que se carguen solo el sistema operativo (aunque cargarse el SO también implica poder cargarse 'mis documentos' , pero bueno"). Para cifrar tus archivos no necesitas ningún permiso especial.
En cuanto a "No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad. "
'X-Player', funciona de lujo con Linux Mint y los 'Media Player' que vienen por defecto en la mayoría de distribuciones Gnu/Linux (no siempre es VLC) muy poquito tienen que envidiar al propio VLC, en algunos casos incluso funcionan mejor. Diversificar un poco los tipos de aplicaciones les tiene que joder bastante a los ciberdelincuentes : https://github.com/linuxmint/xplayer
Comentarios
A mi no me afecta, uso windows:
Platform(s): GNU/Linux
Windows: Not reproducible in 3.0.6 win64, 3.0.7.1 win64 or nightly 4.0.0-20190723-0832 win64 either.
comment:10 Changed 6 horas ago by Jean-Baptiste Kempf
#2 Pues si usas Windows tienes muuuuchas probabilidades de verte afectado por muuuuchas más vulnerabilidades diferentes a esta que si usas es Linux.
#12 Pues si usas linux tienes muuuuchas probabilidades de verte afectado por muuuuchas más vulnerabilidades diferentes a esta que si usas es windows.
A ver si dejamos el rollo este de "A mi no me afecta, uso linux" que siempre sale en cada meneo sobre un bug en windows, que luego lo repites con linux y siempre sale un excusándose como tú. Parece que te haya ofendido.
#13, casi, casi. Digo casi porque está noticia no es sobre un bug de Linux sino de una aplicación en concreto, en su versión para Linux, eso sí
#13 A ver si dejamos el rollo este de "A mi no me afecta, uso linux" que siempre sale en cada meneo sobre un bug en Windows.
No me has ofendido. Disculpa el tono si he dado esa impresión.
Pero, ¿no crees que me estás acusando de lo mismo que has hecho en tu primer comentario, cambiando "linux" por "Windows"?
#19 Claro, pero mi comentario era sarcástico en protesta del otro. No iba en serio.
#21 Por eso algunas veces soy un bocazas. Disculpa el malentendido.
#2 The heap-based buffer over-read bug, found in VLC's mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp protocol when called from mkv::Open in modules/demux/mkv/mkv.cpp, is potentially as severe as it gets.
"A remote, anonymous attacker can exploit the vulnerability in VLC to execute arbitrary code, cause a denial-of-service condition, exfiltrate information, or manipulate files," as noted by ESET.
The vulnerability is known to exist in the latest version of VLC on Windows, Linux, and Unix machines, but it is possible the bug is also present in past builds.
https://www.zdnet.com/article/remote-code-execution-vulnerability-in-vlc-remains-unpatched/
Windows, Linux, and Unix versions of VLC are all affected (but not the macOS version)
https://gizmodo.com/you-might-want-to-uninstall-vlc-immediately-1836641101
#17 Ya lo había visto pero yo prefiero hacerle más caso a un desarrollador de VLC que a un periodista:
No sé tú
#22 Directamente de la agencia que ha reportado la vulnerabilidad: CERT-Bund (Germany’s national Computer Emergency Response Team)
https://www.cert-bund.de/advisoryshort/CB-K19-0634
título: VLC: la vulnerabilidad permite eludir las restricciones de seguridad
fecha: 07/24/2019
software: VLC de código abierto 3.0.7.1
plataforma: Linux, UNIX, Windows
#26 cierto, ahora nos leemos las explicaciones de uno de los desarrolladores de VLC y nos damos cuenta de por qué windows no esta afectado.
#29 El fallo estaba en la librería C++ de terceros "libebml" que parsea ficheros EBML. La compilación de VLC para Windows incluye esta librería, así que está igualmente afectado. Otra cosa es lo que han posteado los desarrolladores de VLC, según los cuales a partir de la versión 3.0.3 el error está parcheado. Pero lo uno no quita lo otro.
#34 Sí, también puedes remontarte a la versión beta, seguro que encuentras más fallos pero si coges la versión actual te encontrarás conque linux está afectado pero windows no.
P.D: ¿Qué sabrán los desarrolladores? a ellos ni caso, mejor hagámos caso a los periodistas.
#35 A ver, lo que tú venías a decir es que afectaba a Linux pero no a Windows, lo cual es del todo erróneo: en este caso concreto afecta indistintamente a ambos SSOO, el motivo técnico ya lo expliqué.
Los desarrolladores también meten la pata, no creas.
Cómo será la cosa que en el mismo enlace que enviabas, Jean-Baptiste Kempf abroncaba al creador del hilo...
Changed 3 horas ago by Jean-Baptiste Kempf
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
Changed 3 horas ago by Jean-Baptiste Kempf
Note: if you report a security issue, at least update your linux distribution.
#36 Todas las versiones de windows actuales tienen la librería actualizada con el parche aplicado, entonces no son vulnerables. Si te remontas a versiones antiguas, pues venga, vayamos a la beta de VLC y encontrarás un montón de bugs pero estará usted haciendo el gilipollas del mismo modo que si yo me descargo tu enlace, porque puestos a hacerlo, descarguemos la beta de linux y tendrás que en linux estará afectado por un porrón de bugs. La versión actual es la 3.0.7, no la 3.0.3.
Algunas distribuciones actuales de Linux han actualizado VLC pero NO la librería libebml, entonces sí son vulnerables, las actuales, no las del pleistoceno como pretendes en windows.
#37 Lo mismo de arriba y añado que son varias las personas que están confirmando que en windows la versión actual, no esa del pleistoceno, no está afectada, sin embargo en linux sí. Los desarrolladores meterán la pata pero estamos hablando de algo que se está estudiando y revisando por varias personas, si hubiesen metido la pata ya se habrían dado cuenta y rectificado.
El motivo técnico es tan obvio que ni hace falta explicarlo.
#38 Los hechos probados y demostrables son:
Si instalaste VLC en Windows antes del 29/05/2018(anterior a 3.0.3) y no lo has actualizado eres vulnerable.
Si tu distribución de Linux tiene vlc enlazado contra una versión anterior a libebml 1.3.6 eres vulnerables (ubuntu 18.04 es vulnerable actualmente pero no en 19.04).
Si en Linux utilizas la versión oficial actual de VLC
#40 Cierto pero completo tu comentario:
Si instalaste VLC en Windows antes del 29/05/2018 y lo abres, si tienes internet, te saltará la actualización y actualizarás a la nueva versión, ergo, en windows no eres vulnerable.
Si tienes una distribución de linux en el que VLC está afectado, cuya librería no tiene actualización disponible, abrirás VLC, ejecutarás sudo apt-get update/upgrade, le pondrás una vela a Santa Rita y otra a Santo Tomás y no te saldrá nada porque nada hay, ergo, en linux eres vulnerable.
Por eso en windows el problema ya está resuelto, llega conque actualices, mientras que en linux no está resuelto y tienen una incidencia abierta.
P.D: no, no llega con instalar la versión actual de Linux descargada de videoland.org
#42 Puntualizando:
mas sencillo que en Windows.La actualización del VLC en windows es "manual", si le dices actualizar te abre el navegador a la pagina de descargas y usted debe proceder manualmente con una nueva instalación.
La actualización en el caso de Ubuntu 18.04 es la siguiente en terminal:
sudo apt remove vlc
sudo add-apt-repository ppa:videolan/stable-daily
sudo apt update
sudo apt install vlc
Como alternativa (recomendada por VLC) puede hacerlo vía snap con
La solución del problema es idéntica en Windows y Linux.
#43 Corrección: O mucho me falla la memoria o en windows la actualización no es manual sino que te salta una ventana avisándote y preguntándote si quieres actualizar, y si aceptas, la instalación se descarga e instala sola.
Pero aunque fuera como tú dices ¿te parece más cómodo escribir todo eso que hacer clic clic clic?
Aún así, la cuestión no está en lo fácil que sea descargarse la actualización sino en enterarte de que existe tal actualización. En windows, aunque fuese manual, te avisa cuando abres VLC y te enteras y se descarga la actualización con la librería correcta. En linux, por contra, ni siquiera es problema de actualizar el VLC sino de que se actualice la librería independiente pero que usa VLC, así que puedes tener el VLC perfectamente actualizado que si tu linux no actualizó la librería, eres vulnerable.
#44 Como parece que desconoce como funciona snap voy a tratar de explicarle.
Para instalar por ejemplo vlc puede empezar por
Click sobre "Snap Store", abrir enlace y luego en la aplicación "Software" click en instalar. Por ultimo pones la contraseña y ya.
Esa instalación NO utiliza las librerías del sistemas puesto que es igual de ineficiente que Windows, cada aplicación coloca sus librerías independientemente. Este método es el recomendado por VLC y no es vulnerable desde que salio la versión 3.0.3, igual que windows.
El proceso de instalación es similar con la excepción de que si en Windows no tiene contraseña solo saldrá el UAC cuando le da a "ejecutar" el enlace.
Las actualizaciones de snap se notifican estilo android, en un "push" de la barra y se centralizan con la aplicación software.
#45 Como parece que lo único que busca usted es llevar la razón a toda costa, le voy a recordar que los paquetes snap son del otro día, de hace más o menos tres años, y que la forma más habitual de instalar VLC en linux no es a través de los paquetes snap, así que estás jodido igualmente por mucho que exista ese grande y hermoso invento llamado Snap, que si no lo usas o usaste en su día, pues te da igual y hay gente que tiene una instalación linux más antigua que tres tristes años.
Así que gracias por explicarme lo obvio pero no lleva usted razón.
#38 Te lo explica perfectamente #40, otra cosa es que no lo quieras entender.
El exploit afectaba de la misma manera a Windows y a Linux, tanto en ámbito como en tiempo: librería de terceros que se linkaba al compilar. Punto.
La noticia era errónea, VLC lo desmintió y posteriormente los autores del artículo han publicado una actualización, rectificando lo más dignamente que han podido.
El desarrollador que tanto ponías como ejemplo también se dio cuenta de que el exploit no era reproducible en ninguna versión actualizada de VLC, independientemente de su S.O. y cerró el hilo no sin antes afear a quien reportó la vulnerabilidad que no contase con una distribución de Ubuntu actualizada.
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago...
...
Note: if you report a security issue, at least update your linux distribution.
Lo periodistas rectifican la noticia, los de VLC sacan explican el error y los desarrolladores ratifican/respaldan a los de VLC, no sé qué más hace falta para convencerte te has columpiado despotricando contra Linux, en base a una noticia errónea.
Yo, por mi parte, doy por zanjado el tema.
#47 en windows todas las instalaciones de VLC vienen con sus propias librerias asi que si actualizas VLC, arreglas el problema, por tanto windows no esta afectadl.
En linux, segun como lo instales y en que distribucion, VLC puede usar su version de libreria parcheada o de libreria compartida que si la distribucion no la tiene actualizada, eres vulnerable, por eso linux es vulnerable y por eso tienes pruebas de como las ultimas versiones de VLC sufrian el problema.
Lo que tu pegas en negrita te esta diciendo que VLC empaquetado, completo, con su propia libreria esta a salvo, pero te olvidas del otro caso, del que tira de librerias del sistema, por tanto estas equivocado otra vez.
Zanjado queda.
#2 Pues resulta que si están afectadas algunas versiones del vlc en Win, concretamente las anteriores a 3.0.3 puesto que el problema esta en una librería parcheada hace 16 meses (libebml). Todas las versiones en estático con esa librería están afectadas.
Por supuesto todos los VLC de linux linkados en dinámico contra versiones vulnerable de la librería igualmente son vulnerables.
#27 tu link no dice eso.
#28
https://fossbytes.com/vlc-media-player-has-critical-security-flaw-uninstall-now/
Los binarios oficiales anteriores a 3.0.3 con la librería en estático tienen ese problema.
Todos los binarios con libebml
#32 A lo mejor convendría que te leyeras tus propios enlaces y después los entendieses:
Windows: Not reproducible in 3.0.6 win64, 3.0.7.1 win64 or nightly 4.0.0-20190723-0832 win64 either.
---------
Tested on windows 10, 3.0.7.1 win64 official release:
does not crash on single playback
confirmed memory leak on loop one, but no crash (except until out of memory).
#33 Vuelvo a insistir por si no conoce como funcionan la librerías de software.
tendrá el mismo problema descrito en el CVE.Versiones anteriores de VLC a 3.0.3 para windows tienen esa vulnerabilidad porque incluyen la librería con el problema.
Por supuesto que no se reproduce en el VLC 3.0.6 oficial para windows porque la librería incluida esta parcheada.
Algunas distribuciones de Linux han actualizado VLC pero NO la librería libebml.
Si usted se descarga
Solo afecta a Linux. Tienes que reproducir un MKV o AVI malicioso. Y además seguirías protegido por la seguridad de Linux y no podrían modificar nada del sistema, salvo que lo ejecutes como su claro...
Tampoco se han registrado casos donde se haya usado la vulnerabilidad.
No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad.
#10 La mayoría de los reportes de seguridad de los últimos años es así.
Recuerdo que Linux se enojó por eso
#11 Linux no creo que se enoje ya que no tiene vida propia
#49 Mi teclado si tiene vida propia, quise escribir Linus pero me saboteó
#10 En cuanto a "y no podrían modificar nada del sistema, salvo que lo ejecutes como su claro" A mi siempre me molestó esa afirmación porque a mi me jode bastante más que accedan, cifren, borren o hagan lo que quieran con "mis documentos" a los cuales accedes sin root, que se carguen solo el sistema operativo (aunque cargarse el SO también implica poder cargarse 'mis documentos' , pero bueno"). Para cifrar tus archivos no necesitas ningún permiso especial.
En cuanto a "No lo veo tan grave, y veo sensacionalista la redacción de la noticia la verdad. "
La noticia está siendo fiel a lo que dicen los desarrolladores de VLC, que algo del tema supongo que saben.
Errónea
os cortáis de usar el VLC por un problema de vulnerabilidad y luego metéis el pito a pelo en las alcantarillas de Mordor.
#3 De algo hay que morir...
#3 A ver, tu sabes que somos meneantes, el pito no lo metemos mas que en la cavidad que forma la palma de nuestra mano.
#6, ¿tú no decías que también lo metías en cierta cavidad de
Xtrem3? A ver si al final va a ser todo mentira
#16 Se va desvelando la traisión de #6
#6 #30 Eso es sexo no homo budsex y no cuenta.
#3 brutal
No creo que esté en riesgo en este momento, está apagado...
Vaya, sólo afecta a Linux!! (que siiiii, que es GNU/Linux....).
No hay sistema perfecto, a ver si todo el mundo se da cuenta y vamos todos a una.
#5 Creo que esto es problema de la aplicación, no del sistema operativo en cuestión.
#5 Si instalaste VLC en Windows antes del 29/05/2018 (versiones anteriores a 3.0.3) y no lo has actualizado eres vulnerable.
Había entendido que era a todo excepto a Mac en otras fuentes.
Lo que no acabo de entender es la obligación de desinstalar en vez de no ejecutar.
'X-Player', funciona de lujo con Linux Mint y los 'Media Player' que vienen por defecto en la mayoría de distribuciones Gnu/Linux (no siempre es VLC) muy poquito tienen que envidiar al propio VLC, en algunos casos incluso funcionan mejor. Diversificar un poco los tipos de aplicaciones les tiene que joder bastante a los ciberdelincuentes : https://github.com/linuxmint/xplayer
Sensacionalista es poco. Cada día peor, si cabe (que cabe), este blog.
Hace 'siglos' que paso de VLC y tiro de MPV.
Y si, todo tiene fallos, ningún sistema, ningún software es infalible.
En mi Windows 10 el VLC me cuelga el equipo cada vez que cargo canales de IPTV. Primero como que se desconfigura la pantalla y luego se cuelga.