超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる

フリーソフトのVLCメディアプレーヤーは、大抵の形式のメディアファイルを再生可能で動作も軽快なことから、これまで30億回以上もダウンロードされ、世界中で愛用されています。そんなVLCメディアプレーヤーに、ムービーを再生するとリモートコードが実行されてしまうおそれがある脆弱性が発見されました。

Kurzinfo CB-K19/0634
https://www.cert-bund.de/advisoryshort/CB-K19-0634

NVD - CVE-2019-13615
https://nvd.nist.gov/vuln/detail/CVE-2019-13615

Vorsicht: Kritische Schwachstelle in aktueller Version des VLC Media Player | heise online
https://www.heise.de/security/meldung/Vorsicht-Kritische-Schwachstelle-in-aktueller-Version-von-VLC-Media-Player-4475712.html

CERT warnt vor kritischer Schwachstelle im neuesten VLC Media Player - WinFuture.de
https://winfuture.de/news,110171.html

VLC Media Player Plagued By Unpatched Critical RCE Flaw | Threatpost
https://threatpost.com/vlc-media-player-plagued-by-unpatched-critical-rce-flaw/146611/

'Critical' Security Flaw Discovered in VLC Media Player
https://gizmodo.com/you-might-want-to-uninstall-vlc-immediately-1836641101

ドイツ連邦政府のセキュリティ担当部門である連邦電子情報保安局(BSI)の緊急対応チームCERT-Bundは2019年7月19日に、「VLCメディアプレーヤーにリモートで任意のコードの実行やファイルの操作を行うことができる脆弱性が発見された」と発表しました。

アメリカ国立標準技術研究所(NIST)が管理する脆弱性情報データベースはこの不具合の脆弱性スコアを10のうち9.8と判定しており、かなり重大な問題だとしています。

脆弱性が存在するとされるのはWindows版、Linux版、UNIX版のVLCメディアプレーヤーで、バージョンは記事作成現在では最新版となる「VLC 3.0.7.1」です。これまでのところmacOS版では問題は見つかっていないとのことです。

記事作成現在ではまだ問題が修正されたバージョンはリリースされていません。開発者もこの問題を認識し、すでに修正パッチの作成に着手していますが、完成度は2019年7月21日更新時点で60％ほどとのことで、リリースされる時期の見通しは立っていない模様です。

脆弱性をついた攻撃には、巧妙に細工されたMP4形式のメディアファイルが使用されるとのことで、GIZMODOは、修正パッチがリリースされるまではVLCメディアプレーヤーをアンインストールし、代わりとなるメディアプレーヤーを使用することを推奨しています。

幸いなことに、記事作成時点ではこの脆弱性を悪用した攻撃は確認されていないということです。

・つづき
「VLCメディアプレーヤーに重大な脆弱性を発見」は誤報であると開発元のVideoLANが声明を発表 - GIGAZINE