เมื่อเช้านี้มีข่าว VLC มีช่องโหว่ร้ายแรงถึงระดับรันโค้ดได้โดยไม่มีแพตช์ ตอนนี้ทาง VLC ก็แถลงผ่านทวิตเตอร์ ระบุว่าเป็นช่องโหว่ของไลบรารี libebml ที่แก้ไขไปแล้วประมาณปีครึ่ง และทาง VLC ก็ใช้ไลบรารีเวอร์ชั่นล่าสุดแล้ว โดยเวอร์ชั่นที่แก้ปัญหานั้นมาพร้อมกับ VLC 3.0.3 ตั้งแต่ปีที่แล้ว

ปัญหาของข่าวช่องโหว่นี้มีสองส่วน คือ การรายงานมายังโครงการ VLC ที่ทีมงานไม่สามารถทำซ้ำช่องโหว่ของผู้รายงานได้ ความเป็นไปได้คือเขาใช้ลินุกซ์รุ่นเก่าและอัพเดตไลบรารีไม่ครบทำให้ทาง VLC ส่วนที่สองเป็นการแจ้งเตือนในวงกว้าง ที่ทาง MITRE ออกหมายเลข CVE ให้ช่องโหว่นี้โดยไม่ติดต่อทาง VLC ว่าเป็นช่องโหว่จริงหรือไม่ โดย VLC ระบุว่าที่ผ่านมา MITRE ไม่เคยติดต่อขอคำยืนยันแม้แต่ครั้งเดียว แม้จะมีนโยบายให้ต้องติดต่อผู้ผลิตก่อนก็ตาม

หลังจากเลข CVE ออกไปแล้ว ช่องโหว่มักถูกรายงานผ่านฐานข้อมูลของ NIST และ CERT ของประเทศต่างๆ (ในกรณีนี้คือ CERT เยอรมัน) นำไปแจ้งเตือน จนเป็นข่าวในที่สุด แถมยังมีแนวทางการให้คะแนนความร้ายแรงที่สูง แม้จะเป็นเพียงการเปิดไฟล์จากในเครื่อง

ทีมงาน VLC เคยโวยตั้งแต่ต้นปีที่ผ่านมาว่าวงการความมั่นคงปลอดภัยไซเบอร์นั้นไม่เป็นมิตรกับคนทำงาน และไม่ฟังเหตุผล

ที่มา - @videolan

About the "security issue" on #VLC : VLC is not vulnerable.tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:

— VideoLAN (@videolan) July 24, 2019