1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される

　headless曰く、

　1年以上前に修正されていたVLCの脆弱性が最新版（3.0.7.1）の脆弱性として報告され、新たにCVE-ID（CVE-2019-13615）も割り当てられたのだが、後にCVEエントリーの修正が行われる結果となった（VideoLANのバグトラッカー#22474、NVD —更新履歴、SlashGear、BetaNews）。

　この脆弱性は細工したMKVファイルを読み込ませることでヒープオーバーフローが発生し、VLCがクラッシュするというもの。VideoLANのバグトラッカーには6月25日に登録され、修正が進められていた。しかし、7月16日にCVEエントリーが作成され、複数のメディアで報じられると、VideoLANのJean-Baptiste Kempf氏が問題は再現しないとバグトラッカーにコメントする。

　Kempf氏はバグトラッカーでの議論の末、報告者が使用していたUbuntu 18.04に含まれる古いバージョンのlibebmlが原因だと結論付けた。libebmlはサードパーティーのライブラリであり、VLCではバイナリバージョン3.0.3で修正済みとのこと。本件についてVideoLANの公式Twitterアカウントでは、MITRE/CVEは何年も前からVLCの脆弱性について一度も連絡してきていないことを明らかにしている。

　スラドのコメントを読む | ITセクション | バグ | idle

　関連ストーリー：
誤って緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳 2016年10月30日
「DNA解析で切り裂きジャックの正体を特定」という論文が発表されるも不正確だとの批判を浴びる 2019年03月20日
厚労省のコンドーム出荷量データで誤り、2009年12月の出荷量が突然10倍以上に 2019年01月31日