A maggio, è stata scoperta una vulnerabilità in VLC e in altri lettori multimediali (come il tempo di kody e popcorn ...). Spiegano nell'articolo link che le vulnerabilità sono state corrette VLC in quel momento.
Ma quando controllo il changelog VLC usando il comando apt changelog vlc , (sto usando Ubuntu 17.04 tra l'altro), sto ottenendo questo:
vlc (2.2.4-14ubuntu2.1) zesty-security; urgency=high
- SECURITY UPDATE: Crash due to Out-of-Bound Heap Memory Write (LP: #1693893)
- fix-CVE-2017-10699.patch
- CVE-2017-10699
- SECURITY UPDATE: Fix potential out of bound reads
- fix-CVE-2017-8310.patch
- CVE-2017-8310
- SECURITY UPDATE: Fix invalid double increment
- fix-CVE-2017-8311.patch
- CVE-2017-8311
- SECURITY UPDATE: Fix potential heap buffer overflow
- fix-CVE-2017-8312.patch
- CVE-2017-8312
- SECURITY UPDATE: ParseJSS: fix out-of-bounds read
- fix-CVE-2017-8313.patch
- CVE-2017-8313
-- Simon Quigley Sun, 09 Jul 2017 22:37:06 -0500
Se noti la data, queste vulnerabilità sono state corrette nel repository di Ubuntu il 09 luglio 2017, sebbene l'articolo indichi che VLC ha corretto queste vulnerabilità nel maggio 2017.
Quindi, il mio computer era vulnerabile a questo hack per tutto questo tempo? e se sì, quale difetto è? È stata colpa del team di VLC che non ha realmente spinto le correzioni, o è stato il guasto del team della comunità che non ha corretto la versione VLC disponibile nei repository di Ubuntu dell'universo?
NOTA : Non sto criticando queste due meravigliose squadre (Ubuntu e VLC), stanno facendo un ottimo lavoro e stanno creando eccellenti software. Voglio solo capire cosa è successo qui. Grazie.