Nie, nie musisz odinstalowywać VLC

„Niebo spada; odinstaluj VLC już teraz! ” Oto porady, które zapewniają niektóre witryny. Ale rzekoma wada VLC jest przesadzona – i według twórców VLC może nawet nie stanowić rzeczywistego ryzyka.

To zamieszanie zaczęło się od publikacji CVE-2019-13615, która jest oznaczona jako „krytyczna” z wynikiem 9,8 na 10. Twórcy VLC nie są zadowoleni, że nawet nie skontaktowano się z nimi przed opublikowaniem tej usterki.

Hej @MITREcorp i @CVEnew fakt, że NIGDY nie kontaktujesz się z nami w sprawie luk w zabezpieczeniach VLC przez lata przed publikacją, naprawdę nie jest fajny; ale przynajmniej możesz sprawdzić swoje informacje lub sprawdzić się przed publicznym wysłaniem luki 9.8 CVSS…

– VideoLAN (@videolan) 23 lipca 2019 r

Ale to źle, prawda? To 9,8 na 10 – biorąc pod uwagę luki w zabezpieczeniach, brzmi to jak zbliżający się atak nuklearny. Ta wada może podobno spowodować zdalne wykonanie kodu, co jest złe. Atakujący mogą przejąć kontrolę nad Twoim systemem przez błąd w VLC.

Jak wyjaśnia CVE, ta wada wymaga odtworzenia zniekształconego pliku MKV. Teoretycznie, jeśli pobierzesz złośliwy plik MKV z Internetu i uruchomisz go, może to naruszyć VLC – chociaż nikt nie twierdzi, że kiedykolwiek zdarzyło się to w prawdziwym świecie. Wydaje się, że nie ma to wpływu na wersję VLC dla systemu macOS.

Tak więc, nawet jeśli ta wada jest tak poważna, jak się wydaje, po prostu musisz uważać na pliki MKV – nie pobieraj niezaufanych plików MKV i nie odtwarzaj ich w VLC, dopóki nie zostanie wydana łatka. Trzymaj się z dala od MKV, jeśli piratujesz media.

Ale nie tak szybko! Twórcy VLC twierdzą, że nie mogą nawet odtworzyć problemu, co sugeruje, że istnieją poważne problemy z oryginalnym raportem o exploicie.

Czy nawet to sprawdziłeś?
Nikt nie może tutaj odtworzyć tego problemu.

– VideoLAN (@videolan) 23 lipca 2019 r

Pod koniec dnia prawdopodobnie dobrym pomysłem jest trzymanie się z daleka od pobranych plików MKV, dopóki VLC nie naprawi tej usterki. Ale to wszystko, co naprawdę musiałbyś zrobić, a nawet to jest trochę paranoiczne.

Jak wyjaśniają programiści VLC w Narzędzie do śledzenia błędów VideoLAN:

„Przepraszamy, ale ten błąd nie jest odtwarzalny i nie powoduje awarii VLC”. -Jean-Baptiste Kempf

„Jeśli wylądujesz na tym bilecie poprzez artykuł z wiadomościami, w którym stwierdza się krytyczny błąd w VLC, proponuję najpierw przeczytać powyższy komentarz i ponownie rozważyć (fałszywe) źródła wiadomości”. -Francois Cartegnie

„To nie powoduje awarii normalnej wersji VLC 3.0.7.1” -Jean-Baptiste Kempf

Aktualizacja: Oto dłuższa odpowiedź VideoLAN. Według twórców w obecnym oprogramowaniu VLC nie ma żadnej luki.

Tak więc, reporter, otworzył błąd w naszym bugtrackerze, który jest poza polityką raportowania, czyli wyślij nam prywatną wiadomość na alias bezpieczeństwa.
Oczywiście nasz bugtracker jest publiczny.

Oczywiście nie mogliśmy odtworzyć problemu i próbowaliśmy skontaktować się prywatnie z badaczem bezpieczeństwa.

– VideoLAN (@videolan) 24 lipca 2019 r