Fa unes hores s'ha fet públic un fallada de seguretat en VLC que està marcat amb un 9.8 sobre 10 en l'escala de perillositat. El «fallada crítica» l'ha descobert CERT-Bund i ha estat publicat per WinFuture (En alemany), on descriuen una vulnerabilitat que permet l'execució de codi remot, el que podria permetre que un usuari malintencionat remot instal·lés, modifiqués o executés codi sense que ens adonéssim o fins i tot que accedís als arxius del nostre sistema. També ha estat difós per Mitre.
Les versions afectades serien les de Linux, Windows i Unix, estant fora de perill la de macOS, tot segons WinFuture i la resta de fonts que han difós aquesta informació. El millor és que ningú ha explotat la vulnerabilitat, el que, unit a la versió de VideoLan, ens deixa amb el dubte de si tot això és real o una falsa alarma. Però la veritat és que la versió de VideoLan, o una de tercers que deia que havien creat un pegat a l'60%, ens deixa més dubtes sobre el que està passant.
No és un error de VLC
Did you even check this?
No one can reprodueix this issue here.- VideoLAN (@videolan) Juliol 23, 2019
«Heu tan sols comprovat això? Ningú pot reproduir aquest problema aquí »
En el moment d'escriure aquestes línies, VideoLan sembla molt indignat amb el que han fet CVE i Mitre. primer es queixen que no han estat en contacte amb ells per res durant anys i ara publiquen aquest error sense dir-los res. Després diuen que no és una fallada de VLC, Sinó d'una llibreria de tercers relacionada amb els arxius MKV, i que està corregit des de fa mesos:
About the "security issue" on #VLC : VLC no és vulnerable.
tl; dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since versió 3.0.3 has the correct version shipped, and @MITREcorp ni tan sols van comprovar la seva afirmació.Tema:
- VideoLAN (@videolan) Juliol 24, 2019
«Sobre el 'fallada de seguretat' a #VLC»: VLC no és vulnerable. tl; dr: la decisió està en una llibreria de tercers, anomenada libebml, que va ser reparada fa més de 16 mesos. VLC lliura la versió correcta des 3.0.3, i Mitre ni va comprovar el que ha publicat »
Un error molt difícil d'explotar
La companyia que desenvolupa un dels reproductors més populars de la planeta també té una altra queixa: ¿com és possible que un error que no es pot explotar hagi aconseguit un 9.8 sobre 10 en l'escala de perillositat? També diuen que, en el pitjor dels casos, és impossible robar dades de l'equip ni executar codi remotament, sent el més greu provocar un «crash» en el sistema operatiu.
VideoLan ja va usar un pegat que soluciona un sentència que diuen que ja no existeix en el seu reproductor. Asseguren que està corregit des de la v3.0.3 de VLC, però fa només uns minuts que han marcat com a "tancat" dit pegat. La veritat és que en ell si apareix la 3.0.3 com la versió afectada. Per si fos poc, NIST ha modificat la seva entrada sobre aquesta vulnerabilitat dient que «Aquesta vulnerabilitat ha estat modificada des que va ser analitzada per última vegada pel NVD. Està a l'espera d'una nova anàlisi que pot donar lloc a nous canvis en la informació proporcionada«, El que significa que les primeres anàlisis no són correctes.
Uns diuen que és superpeligroso utilitzar VLC, fins i tot s'ha arribat a recomanar la seva desinstal·lació, altres diuen que cal comprovar el que es publica i que la sentència no existeix, altres modifiquen els seus articles originals ... L'única cosa segura és que jo no desinstal·lar VLC.
