برامجحماية

VLC: “العيب الحرج” الذي أعلن عنه في بداية الأسبوع غير موجود!

فشل مطورو VLC في تكرار الثغرة الأمنية الخطيرة CVE-2019-13615 في VLC 3.0.7.1 التي أعلن عنها CERT-Bund في وقت سابق. ينتقد مطورو VideoLAN في تمرير سلسلة من التغريدات لممارسات MITER Corporation وقاعدة بيانات CVE، في أصل التنبيه. إنهم لم يراجعوا تقريرهم قبل نشره، أو اتصلوا بـ VLC مسبقًا.

لا يمكن إعادة تكرار الخلل الحرج في VLC :

في سلسلة من التغريدات، يشرحون أولاً أنهم لم يتمكنوا من إعادة إنتاج الأخطاء، ويتساءلون عن الطريقة التي تتبعها MITER Corportation في تعبئة قاعدة البيانات الأمريكية هذه والتي نادراً ما يتم التشكيك في جديتها. تحدد قاعدة بيانات CVE عادةً ثغرة أمنية بمجرد اكتشافها تحت معرّف وحيد ID، لتسهيل العمل في المستقبل لتصحيحها. ومع ذلك، يتساءل فريق VideoLAN إذا كانت الجدية ترقى إلى مستوى المعايير المعتادة أثناء هذا التنبيه.

يطلقون بالتالي في العنوان الأول، نقلاً عن تغريدة CVE: “هل قمت فقط بالتحقق من ذلك؟ لا أحد يستطيع إعادة إنتاج هذه المشكلة هنا “. في تعقب الأخطاء على موقع VideoLAN، فإن التبادل بين جان بابتيست كيمب، رئيس الجمعية VLC، وأحد مطوريها فرانسوا كارتيني : “آسف ولكن لا يمكن إعادة إنتاج هذا الخطأ ولا يسبب أي تعطل VLC، “علق الأول.

وأضاف فرانسوا كارتيني: “إذا وصلت إلى بطاقة المساعدة هذه من خلال مقال يدعي وجود خلل حرج في VLC، أقترح عليك قراءة التعليق أعلاه أولاً وإعادة النظر في مصادرك ( وهمية) ». فيما بعد، يؤكد Jean-Baptiste Kempf أن الخطأ لا يؤثر، على وجه التحديد، على الإصدار 4.0.7.1 من VLC.

VideoLAN غاضب جدا من MITER و CVE :

في تغريدة أخرى، يلقي VideoLAN اللوم على MITER Corporation و CVE لعدم الاقتراب من الجمعية قبل نشر تنبيهات الخلل الأمني. ولإضافة: “يمكنك على الأقل التحقق من معلوماتك أو مشاهدة ما هو الخطأ قبل إرسال ثغرة أمنية CVSS 9.8 إلى العموم.” نشعر بأن قادة الرابطة VLC قد أعيد تجميعهم للرد على هذا الموضوع – ونحن نفهمهم. لأنه يمكن أن يؤدي هذا النوع من التنبيه إلى عمليات إزالة التثبيت ضخمة.

زر الذهاب إلى الأعلى