„Niebo spada; odinstaluj VLC już teraz!” – oto porady, które zapewniają niektóre witryny. Jednak rzekoma wada VLC jest przesadzona, a według twórców VLC może nawet nie stanowić rzeczywistego ryzyka.
To zamieszanie zaczęło się od publikacji CVE-2019-13615, która została oznaczona jako „krytyczna” z wynikiem 9,8 na 10. Twórcy VLC nie są zadowoleni, że nikt nie skontaktował się z nimi przed opublikowaniem tej usterki.
Hej @MITREcorp i @CVEnew, fakt, że NIGDY nie kontaktujecie się z nami w sprawie luk w zabezpieczeniach VLC przez lata przed publikacją, naprawdę nie jest w porządku; ale przynajmniej możecie sprawdzić swoje informacje lub skontaktować się z nami przed ogłoszeniem luki 9.8 CVSS…
– VideoLAN (@videolan) 23 lipca 2019 r.
Ale to źle, prawda? 9,8 na 10 – biorąc pod uwagę luki w zabezpieczeniach, brzmi to jak zbliżający się atak nuklearny. Ta wada może podobno spowodować zdalne wykonanie kodu, co jest poważnym zagrożeniem. Atakujący mogą przejąć kontrolę nad Twoim systemem przez błąd w VLC.
Jak wyjaśnia CVE, ta wada wymaga odtworzenia zniekształconego pliku MKV. Teoretycznie, jeśli pobierzesz złośliwy plik MKV z Internetu i uruchomisz go, może to naruszyć VLC – chociaż nikt nie twierdzi, że kiedykolwiek zdarzyło się to w rzeczywistości. Wydaje się, że nie ma to wpływu na wersję VLC dla systemu macOS.
Dlatego, nawet jeśli ta wada jest tak poważna, jak się wydaje, po prostu musisz uważać na pliki MKV – nie pobieraj niezaufanych plików MKV i nie odtwarzaj ich w VLC, dopóki nie zostanie wydana łatka. Trzymaj się z dala od MKV, jeśli piratujesz media.
Ale nie tak szybko! Twórcy VLC twierdzą, że nie mogą nawet odtworzyć problemu, co sugeruje, że istnieją poważne wątpliwości co do oryginalnego raportu o exploicie.
Czy nawet to sprawdziłeś? Nikt nie może tutaj odtworzyć tego problemu.
– VideoLAN (@videolan) 23 lipca 2019 r.
Pod koniec dnia prawdopodobnie dobrym pomysłem jest trzymanie się z dala od pobranych plików MKV, dopóki VLC nie naprawi tej usterki. Ale to wszystko, co naprawdę musisz zrobić, a nawet to jest trochę paranoiczne.
Jak wyjaśniają programiści VLC w Narzędziu do śledzenia błędów VideoLAN:
„Przepraszamy, ale ten błąd nie jest odtwarzalny i nie powoduje awarii VLC” – Jean-Baptiste Kempf.
„Jeśli trafiłeś na ten błąd dzięki artykułowi prasowemu, który stwierdza, że istnieje krytyczny błąd w VLC, proponuję najpierw przeczytać powyższy komentarz i ponownie rozważyć (fałszywe) źródła wiadomości” – Francois Cartegnie.
„To nie powoduje awarii normalnej wersji VLC 3.0.7.1” – Jean-Baptiste Kempf.
Aktualizacja: Oto dłuższa odpowiedź VideoLAN. Według twórców w obecnym oprogramowaniu VLC nie ma żadnej luki.
„Tak więc, reporter otworzył błąd w naszym systemie śledzenia błędów, który jest poza polityką raportowania, co oznacza, że powinieneś wysłać nam prywatną wiadomość na alias bezpieczeństwa. Oczywiście nasz bugtracker jest publiczny.”
„Oczywiście nie mogliśmy odtworzyć problemu i próbowaliśmy skontaktować się prywatnie z badaczem bezpieczeństwa.”
– VideoLAN (@videolan) 24 lipca 2019 r.
newsblog.pl
Maciej – redaktor, pasjonat technologii i samozwańczy pogromca błędów w systemie Windows. Zna Linuxa lepiej niż własną lodówkę, a kawa to jego główne źródło zasilania. Pisze, testuje, naprawia – i czasem nawet wyłącza i włącza ponownie. W wolnych chwilach udaje, że odpoczywa, ale i tak kończy z laptopem na kolanach.