Proponha uma correção, faça uma sugestão
Usa o popular VLC? Há uma falha crítica que afeta milhões de utilizadores
O VLC é um dos melhores players multimedia que podemos encontrar. Para além da sua simplicidade de utilização, tem suporte para quase todos os formatos que conhecemos no segmento do audio e video. No entanto, tal como outras ferramentas, o VLC não está imune a vulnerabilidades.
Recentemente Lilith Wyatt, um investigador da Cisco Talos descobriu uma vulnerabilidade grave que permite injectar código remotamente devido a uma vulnerabilidade presente numa das bibliotecas usadas por este leitor e outros que a usam.
O VLC faz uso de um conjunto de bibliotecas Open Source, desenvolvidas em C++, que permitem a transmissão de conteúdos. Segundo uma investigação da Cisco Talos, a vulnerabilidade encontra-se nesse conjunto de bibliotecas designadas de LIVE555 Streaming Media.
Estas bibliotecas garantem o suporte para protocolos como o RTP/RTCP e RTSP para streaming, e fazem também a gestão do payload do RTP para formatos video como o H.264, H.265, MPEG, VP8 e DV e também para formatos audio como o MPEG, AAC, AMR, AC-3 e Vorbis. Este tipo de bibliotecas são usadas normalmente no VLC e também no famoso MPlayer.
Esta falha crítica está documentada com o número CVE-2018-4013 e além de afetar todos os sistemas que tenham o VLC instalado, há informações que tal vulnerabilidade pode também ser explorada em sistema de câmaras (que tenham este player integrado).
Esta vulnerabilidade está presente no VLC que faz uso da biblioteca Networks LIVE555 Media Server, versão 0.92. Entretanto o responsáveis por esta biblioteca já lançaram a respetiva actualização - ver aqui.
Relativamente ao VLC, a última versão, apenas foi lançada no inicio de setembro deste ano. No entanto a vulnerabilidade foi anunciada a 10 de outubro pela Cisco Talos, daí a última versão continuar (provavelmente) com a falha crítica.
Este artigo tem mais de um ano
Loading ...
open source tb tem falhas!
E como actualizar a biblioteca afectada? Ou só será possível quando sair uma nova versão do VLC?
sudo apt-get upgrade
No ubuntu é possível remover este pacote ” biblioteca live 555 ” ir ao Synaptic procurar live555 e desinstalar os 4 pacotes relacionados com o live 555 .
reparei agora se fazer desinstala o vlc , hummm .
nerd
O VLC já foi bom, mas como tudo que é grátis, tende a deixar a desejar com o tempo…
Ultimamente estou utilizando a versão 2.2.5
Pois a última está bugada.
Se você colocar um vídeo em câmera lenta, e deixá-lo reproduzir, se você clicar pra voltar, ele trava. Antigamente, mesmo em camera lenta, você clicava pra voltar e voltava no mesmo momento. Agora ele trava e só depois de uns 5 segundos que volta, e se clicarmos de novo trava novamente.
Isso está acontecendo tanto no Linux como no Windows na versão 3.0.4.
Notícia antiga! já foi resolvido
DO lado do VLC ainda não há noticias.
Sua natureza opensource faz com que correções aos problemas saiam logo.
Enquanto isso no Windows…
An eternity later…
Alguém conhece alguma alternativa de peso ao VLC?
Km player
PotPlayer
+1
É o player com maior personalização que conheço. Clicando com o botão direito do rato acede-se a todas as definições.
Com esta skin fica ainda melhor e mais elegante:
https://daumpotplayer.com/skin-thesimplething-v2-0-by-flydonkey/
Eu utilizo o mpv, que é um fork do mplayer, mesmo no windows. Para mim, é imbatível na velocidade, já que possuo um pc bem fraco.
Esta falha não afeta softwares client-side que usam estas bibliotecas, apenas server-side logo o VLC e o MP-Player não estão vulneraveis….
Podem confirmar o changelog “…a bug in the server implementation of RTSP-over-HTTP…” os players client-side usam implementações client do RTSP.
http://www.live555.com/liveMedia/public/changelog.txt
Era porreiro o VLC ser actualizado…
O que é que opensource tem a ver com isto? O produto é mantido por gente assim como noutro software. O problema aposto que nem foi descoberto pelo código mas por fuzzing.
Vc tem que parar de ir contra o opensource, pelo menos todos podem ver o código diferente a microlixo que esconde e tem que usar engenharia reversa pra descobrir
Sabe-se lá quantas falhas tem e um hacker mal intencional pode descobrir e ferrar com todos e depois vai ser tarde de mais…
acho que não percebeste o que ele disse….
é brasileiro.. estavas à espera que fosse inteligente?
Como se prova pelo teu comentário, inteligência não é uma questão de raça.
GÊNIO. SOMENTE UM GRANDE GÊNIO PODERIA CHEGAR AO CÚMULO DA SAPIÊNCIA E CONCLUIR QUE GENIALIDADE ESTÁ VINCULADA A NACIONALIDADE. NÃO DÁ NEM PRA RIR. TODA FORMA DE DISCRIMINAÇÃO TRAZ EM SI O REFLEXO DO QUE SE TEM NO ÍNTIMO, OU SEJA, REFLETE UMA NÃO ACEITAÇÃO DE LIMITAÇÕES QUE TRAZ EM SI MESMO, MELHOR DIZENDO: UMA PROJEÇÃO EM OUTRENS DO QUE HÁ DE PIOR EM SI MESMO. TRISTE, TRISTE, TRISTE. SERIA RISÍVEL SE NÃO FOSSE TÃO DEPLORÁVEL. PERDOEM A CAIXA ALTA, NÃO REPRESENTA TOM ALTO DE VOZ E SIM UMA ÊNFASE AO ABSURDO DO COMENTÁRIO RANÇOSO, INFELIZMENTE TANTAS VEZES EXPELIDO S POR BOCAS QUE SE FAZEM CLOACAS. PERDOEM A INDIGNAÇÃO.
Relê.
Mail novo, caro amigo do linux? O opensource também tem falhas, como já foi comentado. Só tens que aceitar a verdade.
Todos os dias lido com vulnerabilidades de todo o tipo de software. seja OSS seja closed. é exatamente igual.
Ainda bem que o VLC nem é afectado…..
https://it.slashdot.org/comments.pl?sid=12787146&cid=57515512
Plz, informem-se antes de lançarem o drama….
Bem visto.
De qualquer forma aqui fica acesso a versões mais frescas e à responsabilidade.
https://nightlies.videolan.org
Para quem quiser ter a ultima versão do vlc no ubuntu pode faze-lo atravez de um pacote snap .
Num terminal .
” sudo snap install –channel=edge vlc ”
para o executar através do menu
ou num terminal
” vlc ”
” which vlc ”
(/snap/bin/vlc)
Para quem quiser ter a ultima versão do vlc no ubuntu pode faze-lo atravez de um pacote snap .
Num terminal .
” sudo snap install –channel=edge vlc ”
para o executar através do menu
ou num terminal
” vlc ”
” which vlc ”
(/snap/bin/vlc)
nosso irmão, intitulado dqdd, perdeu ótima oportunidade de passar despercebido. GÊNIO. SOMENTE UM GRANDE GÊNIO PODERIA CHEGAR AO CÚMULO DA SAPIÊNCIA E CONCLUIR QUE GENIALIDADE ESTÁ VINCULADA A NACIONALIDADE. NÃO DÁ NEM PRA RIR. TODA FORMA DE DISCRIMINAÇÃO TRAZ EM SI O REFLEXO DO QUE SE TEM NO ÍNTIMO, OU SEJA, REFLETE UMA NÃO ACEITAÇÃO DE LIMITAÇÕES QUE TRAZ EM SI MESMO, MELHOR DIZENDO: UMA PROJEÇÃO EM OUTRENS DO QUE HÁ DE PIOR EM SI MESMO. TRISTE, TRISTE, TRISTE. SERIA RISÍVEL SE NÃO FOSSE TÃO DEPLORÁVEL. PERDOEM A CAIXA ALTA, NÃO REPRESENTA TOM ALTO DE VOZ E SIM UMA ÊNFASE AO ABSURDO DO COMENTÁRIO RANÇOSO, INFELIZMENTE TANTAS VEZES EXPELIDO S POR BOCAS QUE SE FAZEM CLOACAS. PERDOEM A INDIGNAÇÃO.