Nachdem in den letzten Tagen die Sicherheitslücke CVE-2019-13615 im VLC verbreitet wurde, die im Endeffekt keine war, war das Team natürlich richtig sauer. Jetzt will man seine eigenen CVEs (Common Vulnerabilities and Exposures) testen.
Wie einige von Ihnen vorgeschlagen haben, werden wir versuchen, unser eigener CNA für VLC (und möglicherweise einige andere Multimedia-Bibliotheken) zu werden. Dadurch sollten Probleme wie die, die wir gerade hatten, vermieden werden.
Ob es im Endeffekt funktioniert muss man abwarten. Denn immerhin werden die üblichen CVEs unter anderem von der Mitre Corporation verwaltet. Aber sollte man auch andere Multimedia-Bibliotheken hinzugewinnen können, könnte es sogar klappen. Denn falls es Lücken in den Multimedia-Bibliotheken, die ja extern laufen und im VLC eingebunden werden auftreten, könnten diese dann eher behoben werden.
wer sagten das der exploit den die jungs getestet haben, der richtige war.
ich hau doch auch keinen raus, der mindestens noch 6 monate und mehr
hergeben würde wenn man ihn nicht öffentlich macht.
Die Frage ist hier wie wird er genutzt, einfach um zu sehen was geht oder die andere sache.
Und was kann er Remote Shell oder bla bla.
Und wenn es einer für MS gewesen wäre hätten die den eh verkauft, aber davor monate lang für eigen gebrauch genutzt.
Soweit ich weis zahlt MS ne Mega Knete für nen non Public Exploit.. wenn ich mich recht erinner war das was zwischen 40.000 und 60.000 Euronen.