“하늘이 무너지고 있다. 지금 VLC를 제거하십시오!” 일부 웹사이트에서 제공하는 조언입니다. 그러나 알려진 VLC 결함은 과장되어 있으며 VLC 개발자에 따르면 실제 위험이 아닐 수도 있습니다.
이 소동은 모두 의 출판과 함께 시작되었습니다. CVE-2019-13615, 10점 만점에 9.8점으로 “심각한” 취약점으로 표시됩니다. VLC의 개발자는 이 결함이 게시되기 전에 연락조차 하지 않은 것에 만족하지 않습니다.
야 @MITREcorp 그리고 @CVEnew , 게시하기 전에 몇 년 동안 VLC 취약점에 대해 저희에게 연락하지 않았다는 사실은 정말 멋지지 않습니다. 그러나 적어도 9.8 CVSS 취약점을 공개적으로 보내기 전에 정보를 확인하거나 자신을 확인할 수 있습니다.
— 비디오 랜(@videolan) 2019년 7월 23일
하지만 나쁘죠, 그렇죠? 10점 만점에 9.8점입니다. 보안 결함이 있을수록 핵 공격이 들어오는 것처럼 들립니다. 이 결함으로 인해 원격 코드가 실행될 수 있으며 이는 좋지 않습니다. 공격자는 VLC의 버그를 통해 시스템을 제어할 수 있습니다.
CVE가 설명하는 것처럼 이 결함은 잘못된 형식의 MKV 파일을 재생해야 합니다. 이론적으로 웹에서 악성 MKV 파일을 다운로드하여 실행하면 VLC가 손상될 수 있습니다. 하지만 아무도 이것이 현실 세계에서 일어난 적이 없다고 주장합니다. 또한 macOS 버전의 VLC는 영향을 받지 않는 것 같습니다.
따라서 이 결함이 그렇게 심하게 나타나더라도 MKV 파일에 대해 주의해야 합니다. 패치가 릴리스될 때까지 신뢰할 수 없는 MKV 파일을 다운로드하고 VLC에서 재생하지 마십시오. 미디어를 불법 복제하는 경우 MKV를 멀리하십시오.
그러나 그렇게 빠르지는 않습니다! VLC의 개발자들은 문제를 재현할 수조차 없다고 말하며 원래 익스플로잇 보고서에 심각한 문제가 있음을 시사합니다.
이것도 확인하셨나요?
아무도 여기에서 이 문제를 재현할 수 없습니다.
— 비디오 랜(@videolan) 2019년 7월 23일
하루가 끝나면 VLC가 이 결함을 패치할 때까지 다운로드한 MKV 파일을 멀리하는 것이 좋습니다. 하지만 그것이 당신이 정말로 해야 할 전부이며, 그것조차도 일종의 편집증적입니다.
VLC의 개발자가 설명하는 것처럼 VideoLAN 버그 추적기:
“죄송합니다. 하지만 이 버그는 재현할 수 없으며 VLC와 충돌하지 않습니다.” -장 바티스트 켐프
“VLC의 치명적인 결함을 주장하는 뉴스 기사를 통해 이 티켓에 도달했다면 먼저 위의 댓글을 읽고 (가짜) 뉴스 소스를 재고해 볼 것을 제안합니다.” -프랑수아 카르테니
“VLC 3.0.7.1의 일반 릴리스는 충돌하지 않습니다.” -Jean-Baptiste Kempf
업데이트: 다음은 VideoLAN의 더 긴 응답입니다. 개발자에 따르면 현재 VLC 소프트웨어에는 결함이 전혀 없습니다.
그래서 한 기자가 보고 정책 외부에 있는 버그 추적기에서 버그를 열어 보안 별칭으로 비공개로 메일을 보냈습니다.
물론 버그 추적기는 공개되어 있습니다.
물론 문제를 재현할 수는 없었고 보안 연구원에게 비공개로 연락을 시도했습니다.
— 비디오 랜(@videolan) 2019년 7월 24일