2019年07月25日 12時13分 ソフトウェア

「VLCメディアプレーヤーに重大な脆弱性を発見」は誤報であると開発元のVideoLANが声明を発表



VLCメディアプレーヤーを開発するVideoLANは、VLCメディアプレーヤーで致命的な脆弱性があるという報道について、Twitter上で「脆弱性はすでに修正済みであり、報道は誤りである」という声明を発表しました。





About the "security issue" on #VLC : VLC is not vulnerable.

tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.

VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.



Thread: — VideoLAN (@videolan) 2019年7月24日



ドイツの連邦電子情報保安局(BSI)の緊急対応チームであるCERT-Bundが2019年7月19日に「フリーソフトのVLCメディアプレーヤーにリモートで任意のコードの実行やファイルの操作を行うことができる脆弱性が発見された」と発表しました。脆弱性はMitreの脆弱性情報データベース(CVE)やアメリカ国立標準技術研究所(NIST)のNational Vulnerability Database (NVD)に登録され、重大な問題と評価されました。



超万能メディアプレーヤー「VLC」にPC乗っ取りが可能になる脆弱性が見つかる - GIGAZINE





しかしVideoLANのTwitter公式アカウントによると、報じられている脆弱性は実際に存在したものの、サードパーティー製のライブラリである「libeml」によるものであり、16カ月以上前に修正されているとのこと。また、VLCメディアプレーヤーでもバージョン3.0.3から修正されているとのこと。そのため、最新版であるバージョン3.0.7.1では既に脆弱性は確認できず、VideoLANも再現できなかったと報告しています。



VideoLANは、修正されたはずの脆弱性が報告されてしまった原因として「報告者が古いバージョンであるUbuntu 18.04を使用していて、ライブラリーの更新が不完全だったため」と指摘。VideoLANがCERT-Bundに対して問い合わせのメールを投げたものの、返信はなかったそうです。



The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.



But did not answer to our questions. — VideoLAN (@videolan) 2019年7月24日



修正済みであるにもかかわらず、この脆弱性はCVEやNVDに報告され、登録されてしまったとのこと。VideoLANによると、Mitreから連絡もなくCVEにVLCメディアプレーヤーの脆弱性が登録されたことはこれまでにも何度かあったそうで、VideoLANはMitreへの不信感をにじませています。また、報道に際して「すぐにアンインストールしたほうがいい」と促した海外メディアのGizmodeに対してもVideoLANは批判しています。



For whatever reason, unknown to us, @MITREcorp decided to issue a CVE, without talking to us.



This is in direct violation of their own policies, https://t.co/yyDhK6Ls3u pic.twitter.com/8AZWpimNBC — VideoLAN (@videolan) 2019年7月24日