シュレーディンガーの猫について知るのに量子力学の学位は必要ありません。この有名な思考実験は、毒の入ったフラスコと放射性物質が入った密閉箱に入れられた猫は、同時に生きている状態と死んでいる状態になる可能性があるというものです。そして今、シュレーディンガーの脆弱性が明らかになりました。人気のVLCメディアプレーヤーは、重大なセキュリティ欠陥に対して脆弱でありながら、同時に無防備であると言われています。まさに量子です!
この脆弱性の深刻度については議論がある。ドイツのセキュリティ機関CERT-Bundは、悪意のある動画によってVLCがクラッシュしたり、標的のデバイス上でリモートコード実行が可能になったりする可能性があると指摘した。VLCの人気の高さを考えると(新しいPCをセットアップする際にソーシャルメディアで「どのアプリを最初にインストールすべきか?」というスレッドが数多く立ち上がり、VLCが頻繁に話題に上がるなど)、数十億台のシステムが危険にさらされる可能性がある。
VLCの開発元であるVideoLANは、CERT-Bundが報じたほど深刻な状況ではないと否定した。バグ追跡レポートの中で、VideoLANチームのメンバーは、CERT-Bundが使用した悪意のある動画は最新バージョンのVLCをクラッシュさせるものではないと繰り返し述べている。VideoLANはCVEリストの中で、「この問題の性質上、攻撃者は任意のコードを実行できる可能性もあるが、これは確認されていない」と述べている。
この非営利団体は、Twitterアカウントからの一連のツイートを通じて、この脆弱性の開示を批判しました。VideoLANは、脆弱性が公表される前に連絡がなかったと主張し、CVEチームの誰かが脆弱性をリストに掲載する前に自らテストしたかどうかを尋ねました。この開示前に非営利団体に連絡がなかったというのは異例です。ベンダーは通常、問題が公開される前に90日以内に修正する必要があります。
一方、この脆弱性は当初、NISTの脆弱性データベース(NVD)で9.8の評価を受けていました。NVDは、脆弱性の深刻度をより分かりやすく伝えるために共通脆弱性評価システム(CVSS)を使用しています。最高評価は10であるため、この最初の9.8の評価は大きな意味を持ちます。しかし、NISTは、この脆弱性は「NVDによる前回の分析以降修正されており」、現在「再分析を待っているため、提供される情報がさらに変更される可能性がある」と述べています。この情報開示がどのように処理されたか、脆弱性の実際の深刻度、そしてVLCユーザーがこれらの報告にどのように対応すべきかなど、より詳しい情報が早急に明らかになることを期待しています。
これがシュレーディンガーの猫の第二部です。箱が封印されている間だけ、生きているとも死んでいるとも考えられるのです。誰かが実際に確認すれば、明確な答えが得られるはずです。この脆弱性についても同じことが言えるはずです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
