被欧盟赞助后开源播放器VLC发布最安全的版本 合计修复33个安全漏洞
去年欧盟推出新计划旨在赞助部分热门的开源软件解决安全问题,原因是欧盟自己大量使用这些开源类软件。
而绝大多数开源软件本身资金有限所以无法发起漏洞赏金计划,恰巧赶上欧盟这趟车后有外部人员提供帮助。
欧盟为这些开源软件提供668万元的漏洞赏金计划,全球安全研究人员都可以自由参与提交漏洞再获得赏金。
毕竟有钱好办事所以在欧盟推出这个赏金计划后,VLC 播放器也被众多安全人士关注并积极寻找其中的漏洞。
在过去几个月里安全人士发现VLC播放器合计含有 33 个安全漏洞,同时还包括20 个危害性较低的安全漏洞。
为此VLC社区推出3.0.7版更新,此版本没有任何新功能纯粹就是修复漏洞,VLC 表示建议所有用户立即升级。
高危漏洞里有个是越界写入还有个是堆栈缓冲区溢出问题,不过暂时这些安全漏洞的细节都还没有详细公布。
针对VLC播放器的赏金计划有个安全人员提交13个漏洞 , 这些漏洞经过评估获得欧盟发放的1.3万美元奖励。
点击访问VLC官网下载最新版本或查看漏洞的相关信息等等:https://www.videolan.org/vlc/ (全平台支持)
欧盟的开源软件审计项目最初由海盗党欧洲议会议员茱莉亚和绿党环保部门安德森提出构想并最终成功实现。
该项目首先会列出欧盟委员会使用的免费软件清单,并检查这些软件开发商是如何处理其产品中的安全问题。
欧盟还准备开展黑客马拉松计划让欧盟内的软件开发者与自由软件项目的开发者更紧密的合作提高安全性等。
当然虽然名义上是欧盟为自己使用的开源软件提高安全性,但最终全球所有用户也都可以使用更安全的产品。
软件项目 | 奖金上限/欧元 | 开始时间 | 结束时间 | 提交平台 |
---|---|---|---|---|
Filezilla | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
Apache Kafka | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
Notepad++ | 71.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
PuTTY | 90.000,00 € | 07/01/2019 | 15/12/2019 | HackerOne |
VLC Media Player | 58.000,00 € | 07/01/2019 | 15/08/2019 | HackerOne |
FLUX TL | 34.000,00 € | 15/01/2019 | 15/10/2019 | Intigriti/Deloitte |
KeePass | 71.000,00 € | 15/01/2019 | 31/07/2019 | Intigriti/Deloitte |
7-zip | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
Digital Signature Services (DSS) | 25.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
Drupal | 89.000,00 € | 30/01/2019 | 15/10/2020 | Intigriti/Deloitte |
GNU C Library (glibc) | 45.000,00 € | 30/01/2019 | 15/12/2019 | Intigriti/Deloitte |
PHP Symfony | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
Apache Tomcat | 39.000,00 € | 30/01/2019 | 15/10/2019 | Intigriti/Deloitte |
WSO2 | 58.000,00 € | 30/01/2019 | 15/04/2020 | Intigriti/Deloitte |
midPoint | 58.000,00 € | 01/03/2019 | 15/08/2019 | HackerOne |