テック系メディアが一斉に報じた「VLCメディアプレイヤー」脆弱性は誤り、VideoLANが公式Twitterで激おこ

テック系メディアが一斉に報じた「VLCメディアプレイヤー」脆弱性は誤り、VideoLANが公式Twitterで激おこ

VideoLAN Projectは7月24日、国内外のテック系メディアが一斉に報じた「VLC メディアプレイヤー」に関連する脆弱性について、公式Twitterアカウントで報道は誤りで、16カ月以上前に修正されていると説明しています。

VLCに「深刻な脆弱性」報道、16カ月以上前に修正済みと公式が案内

vlc

人気の無料動画プレイヤー「VLCメディアプレイヤー」に深刻な脆弱性が発見されたと、米Gizmodoなどが報道。この問題についてVLCメディアプレイヤーを開発するVideoLAN Projectは7月24日、公式Twitterで報道は誤りだと声明を発表しています。

VideoLAN Projectによると、この問題は「libebml」と呼ばれるサードパーティライブラリが原因だといい、問題は16カ月以上前に修正されています。VLCのバージョン3.0.3以降では、問題は再現されないとしています。

この脆弱性を報告したのはドイツのセキュリティ機関「CERT-Bund」ですが、アメリカで唯一のサイバーセキュリティ専門の政府系研究開発センターを運営しているMITRE社にも通報され、アメリカ国立標準技術研究所(NIST)の脆弱性情報データベース(CVE)に登録されていました。(現在は修正されている)

脆弱性は遠隔からのコード実行(RCE)ができてしまうという問題でしたが、MITREはVideoLAN Projectへ確認することなく、CVEへ登録するというルール違反を行ったと説明。

このような問題は何年も続いているといい、CVEの共通脆弱性評価システム(CVSS)について強く批判しています。

国内メディアも「アンインストールが無難」「悪用の恐れ」などと報道

VLCに深刻な脆弱性があるとする報道は、国内でもギズモード・ジャパンGIGAZINEITmediaINTERNET Watchマイナビニュースなどが報じていますが、25日10時時点で記事の修正は行われていません。

追って記事は修正されると思いますが、ひとまずVLCをアンインストールする必要はなく、安心して利用できる状態です。