Não reproduza vídeos não confiáveis no VLC Player até a correção da segurança.

ricardogroetaers
(usa Linux Mint)

Enviado em 25/06/2019 - 10:28h

Referências:
https://thehackernews.com/2019/06/vlc-media-player-hacking.html?utm_source=feedburner&utm_medium...

Uma leitura mais clara e mais curta:
https://www.videolan.org/security/sa1901.html

Instruções de xenopeek (membro da equipe do Linux Mint):

O problema não está corrigido no Linux Mint 19.x (Ubuntu 18.04) ou Linux Mint 18.x (Ubuntu 16.04 ) ainda, você pode acompanhar o progresso da correção do pacote Ubuntu aqui:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-5439.html
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-12874.html

No LMDE 3 ele já foi corrigido através da atualização de segurança do VLC para o Debian:
https://security-tracker.debian.org/tracker/DSA-4459-1

removido
(usa Nenhuma)

Enviado em 11/08/2019 - 08:57h

Eles acharam os bugs, reportaram e liberaram instruções no próprio site do VLC:


https://www.videolan.org/security/sa1901.html

Os bugs são achados o tempo todo... O importante é que foram rápidos, transparentes
e consertaram o bug em pouquíssimo tempo, não calculei, mas tipo menos de 3 meses com certeza...

E vc tem razão, o pessoal do Ubuntu 16.04 não estão protegidos *ainda*, mas o patch
está marcado como "needed" nas duas páginas das vulnerabilidades que você postou,
ou seja, deve vir por aí um patch qq hora para eles tb...



E uma observação importante, é que a correção para o Ubuntu 16.04 depende dos devs do Ubuntu,
e _não_ dependem dos devs do VLC.. A falha encontra-se em bibliotecas antigas do Ubuntu que o VLC usa..

StanislausK
(usa FreeBSD)

Enviado em 11/08/2019 - 10:29h

Ola,

hoje o meu Arch Linux recebeu uma atualização para o VLC de quase 11Mb...

removido
(usa Nenhuma)

Enviado em 11/08/2019 - 10:53h

No Arch, os devs podem fazer modificações nos pacotes, correções de bugs etc,
dos pacotes que vem de upstream para liberá-los nos repos do Arch. geralmente,
são pouquíssimas modificações, a não ser no caso de implantarem uma correção de bug!

Quando é uma correção de bug, eles geralmente mandam as correções upstream,
e podem manter as versões dos pacotes no repos com um patch deles até a correção
vir de upstream.

No caso do VLC, a atualização a que você se refere do VLC é para versão 3.0.7.1-3
Nesse caso, o número de versão do pacote que vem de upstream é, ainda, 3.0.7.1
Porém, os devs, pelo que eu entendo, fizeram 3 commits no ramo master do Arch
para esse pacote...

Essas pequenas alterações são denotadas pelo número depois do sinal de hífen.

Rodando o Pacman:

Package (1)  Old Version  New Version  Net Change  Download Size



extra/vlc    3.0.7.1-2    3.0.7.1-3      0,00 MiB      10,82 MiB 

Perceba que no "Net Change", há um delta de 0,0 MiB com o pacote
instalado no sistema. Ou seja, foi uma modificação minúscula.

Este é o endereço do commit pro Arch:
https://git.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/vlc&id=78f356284de66816d...

Se você verificar os arquivos de diff, parece que mudaram só os hashs de uns ids, nada mais.

A versão upstream ainda é 3.0.7.1 , podemos verificar no changelog do VLC upstream:
https://www.videolan.org/developers/vlc-branch/NEWS

Giovanni_Menezes
(usa Devuan)

Enviado em 11/08/2019 - 11:35h

Estou usando o Void e aqui a versão ainda esta na vlc-3.0.7.1_2 :S

E eu faço uso de iptv por vlc no void pqp! : S







--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://encurtador.com.br/CGNU5
http://www.anahuac.eu/contrarrevolucao-osi/




***Twitter***
https://twitter.com/Giovanni_Ann88

***Pensando em investir em bitcoins ? veja este vídeo***
https://www.youtube.com/watch?v=jhBE3MUFxQU