2019年7月25日 17:20 追記:
VLCプレイヤーを提供するVideoLANがTwitterで「現行バージョンに脆弱性はない」と伝えました。
この脆弱性は外部ライブラリが原因のもので、16ヶ月以上前に修正済みとのこと。
今回の報告はCVE(脆弱性情報データベース)にも登録されましたが、報告者の環境で外部ライブラリが適切にアップデートされていなかったことによる誤まった報告でした。
あなたのPCがハッキングされる危険性が!
動画再生メディア・プレイヤーとして広く使われているVLC。これは無料かつオープンソースであることから、世界でもっとも……とはいわないまでも、かなり人気のあるクロスプラットフォーム・メディア・プレイヤーのひとつです。
ですが残念なことに、このVLCにて潜在的に深刻なセキュリティー上の脆弱性が新しく見つかってしまいました。これはVideoLAN Projectのスタッフがパッチを当てるまで、アンインストールしたほうが良いかもしれません。
危機スコアは9.8
WinFutureによりますと、この脆弱性を見つけたのはドイツの連邦機関用コンピュータ緊急対応チームCERT-Bundとのこと。脆弱性情報データベースに「CVE-2019-13615」として登録されたこの問題は、「危機的状況」を表す9.8点のスコアが付けられました。
この脆弱性は、遠隔コード実行(RCE)を許可してしまう可能性を秘めており、これにより、悪意のある攻撃者が許可なくソフトウェアをインストール、改造、または実行することが可能としてしまいます。さらにはホスト・システム上のファイルを公開してしまう可能性もあるのです。
平たくいうと、VLCに空いた穴からハッカーがあなたのコンピューターに侵入し、ファイルを閲覧できるようになります。
被害はまだないけれど……
ありがたいことに、今はまだ誰もこの脆弱性を悪用していないようです。ですがWinFutureの報告によりますと、影響を受けるのはWindows、Linux、Unix用の全バージョンで、macOS用は違うのだそうな。つまり膨大な数のPCが、ハッキングされる危険性を孕んでいるのです。
パッチ開発中
VideoLANはこの状況に気付いており、現在はパッチ開発に着手しています。今は60%程度まで出来ているそうなので、早い完成が待たれますね。
そして悲しいかな、このパッチが登場するまでの間、ユーザーはVLCをアンインストールして、たとえはKMPlayerやMedia Player Classicなどの代わりを使う以外、身を守る手段はありません。もしくは、誰からもハッキングされないことに賭けながら、パッチが出来るまで使い続けるか?
いずれにせよ、今はVLCが危ないことを憶えておいてください。
