VLC媒體播放器遭爆有遠端攻擊漏洞，結果是烏龍一場

德國的電腦緊急應變中心（CERT）於7月24日警告，VLC媒體播放器（VLC Media Player）含有一個編號為CVE-2019-13615的安全漏洞，允許駭客自遠端執行任意程式。然而，打造該播放器的VideoLAN隔天就澄清，該漏洞是藏匿在第三方的模組中，且已於16個月以前便修補，更抨擊管理CVE編號的MITRE Corporation，在完全沒有向VideoLAN求證的情況下，就發布了該漏洞編號。

VLC為一開源且跨平台的媒體播放器，不僅支援Windows、Linux及macOS等桌面平臺，也支援Andorid與iOS等行動平臺，其全球累積下載次數已超過31億次。

根據德國CERT的警告，CVE-2019-13615為一堆積溢位漏洞，只影響桌面版的VLC Media Player，但波及最新的3.0.7.1版。

不過，VideoLAN隔天透過官方Twitter帳號澄清了此事，並將炮火指向MITRE。VideoLAN解釋，有漏洞的並非是VLC Media Player，而是一個名為libebml的第三方函式庫，且已於16個月前修補，VLC Media Player早就在3.0.3版解決該漏洞，而MITRE卻毫不檢查就頒發漏洞編號。

VideoLAN說，他們無法重製該漏洞，於是聯繫了發現該漏洞的研究人員，才知道對方使用了舊版的Ubuntu 18.04，也因此有許多未更新的函式庫。

VideoLAN並未指責德國CERT或提報的研究人員，而是把炮火指向MITRE，抨擊MITRE既未向VideoLAN求證，也未聯繫VideoLAN，直接就發布了漏洞編號，還說MITRE素行不良，在發布有關VLC的安全問題時，從來沒有知會過VideoLAN，他們都是在使用者或散布平臺的通知下才知道的，MITRE明顯違反自己的管理政策。

MITRE為一美國的非營利組織，它負責管理支援許多美國政府機構的各種研發中心，也負責維護通用漏洞披露（CVE）系統與通用缺陷列表（CWE）專案。

在遭到VideoLAN抗議之後，MITRE已經默默地更新CVE-2019-13615，澄清它是位於libebml函式庫的漏洞，且已於VLC Media Player 3.0.3中修補。