動画プレーヤー「VLC」に深刻な脆弱性？　開発チームは修正済みと否定

　動画プレーヤーのデファクトスタンダードとして知られるフリーソフト「VLC」で深刻な脆弱性が発見されたと報じられた一方で、同ソフトを開発するVideoLAN Projectは、すでに修正済みのものだと否定している。

　この脆弱性はドイツ政府直轄のセキュリティ機関が発見・報告したもの。具体的な内容としては任意のコードの実行、つまりPCの乗っ取りが可能になるというもので、対象となっているのはWindows版のほかLinux版、UNIX版で、Mac OS版およびスマホ向けにリリースされているVLCアプリは現時点では問題は見つかっていないという。脆弱性情報データベースには「CVE-2019-13615」として登録されており、深刻度は10段階で9.8とかなり高めにレーティングされていた。

　これを受けて本記事でも当初、「いまのところ具体的な被害は報告されていないが、PCの乗っ取りは動画に偽装したファイルによって可能になるとのことなので、それまでの間は同ソフトを用いた動画の再生は行わないのはもちろん、アンインストールしておくのが安全と言えそうだ。インストール数の累計が31億という超有名ソフトだけに、今後の動向が注目される」と報じていたが、VLCの開発チームはTwitterにおいてコメントを発表し、サードパーティー製ライプラリに存在したこの脆弱性はすでに16カ月前に修正されており、VLCでもバージョン3.0.3以降で修正済みであるとしている。

　なお、CVE-2019-13615の深刻度のレーティングはその後、5.5に下げられている。詳しくは、「窓の杜」
の記事『一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ～VideoLANが声明』を参照してほしい。

• NVD - CVE-2019-13615（NIST）
  https://nvd.nist.gov/vuln/detail/CVE-2019-13615
• Kurzinfo CB-K19/0634（WID CERT-Bund）
  https://www.cert-bund.de/advisoryshort/CB-K19-0634
• CERT-Bund warns of a critical vulnerability in VLC player（Security Affairs）
  https://securityaffairs.co/wordpress/88785/hacking/vlc-player-rce.html
• VideoLAN Projectの該当ツイート（Twitter）
  https://twitter.com/videolan/status/1153963312981389312
• 一部メディアが報ずる「VLC media player」の致命的な脆弱性は誤り ～VideoLANが声明（窓の杜）
  https://forest.watch.impress.co.jp/docs/news/1197998.html

【記事更新 12:30】
　VideoLAN Projectのツイート内容を受け、本記事の内容および記事タイトルを修正・加筆しました。