1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される
2019年7月26日 18:23
headless曰く、
1年以上前に修正されていたVLCの脆弱性が最新版(3.0.7.1)の脆弱性として報告され、新たにCVE-ID(CVE-2019-13615)も割り当てられたのだが、後にCVEエントリーの修正が行われる結果となった(VideoLANのバグトラッカー#22474、NVD —更新履歴、SlashGear、BetaNews)。
この脆弱性は細工したMKVファイルを読み込ませることでヒープオーバーフローが発生し、VLCがクラッシュするというもの。VideoLANのバグトラッカーには6月25日に登録され、修正が進められていた。しかし、7月16日にCVEエントリーが作成され、複数のメディアで報じられると、VideoLANのJean-Baptiste Kempf氏が問題は再現しないとバグトラッカーにコメントする。
Kempf氏はバグトラッカーでの議論の末、報告者が使用していたUbuntu 18.04に含まれる古いバージョンのlibebmlが原因だと結論付けた。libebmlはサードパーティーのライブラリであり、VLCではバイナリバージョン3.0.3で修正済みとのこと。本件についてVideoLANの公式Twitterアカウントでは、MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていないことを明らかにしている。