Poche ore fa a falla di sicurezza in VLC che è contrassegnato con un 9.8 su 10 sulla scala di pericolo. Il "guasto critico" è stato scoperto da CERT-Bund e pubblicato da WinFuture (in tedesco), dove descrivono una vulnerabilità che consente l'esecuzione di codice in modalità remota, che potrebbe consentire a un utente malintenzionato remoto di installare, modificare o eseguire codice senza che noi ce ne accorgiamo o addirittura accediamo ai file sul nostro sistema. È stato anche diffuso da mitra.
Le versioni interessate sarebbero quelle di Linux, Windows e Unix, con macOS sicuro, il tutto secondo WinFuture e il resto delle fonti che hanno diffuso queste informazioni. La buona notizia è che nessuno ha sfruttato la vulnerabilità, che, insieme alla versione VideoLan, ci lascia chiedersi se tutto questo sia reale o un falso allarme. Ma la verità è che la versione di VideoLan, o una versione di terze parti che diceva di aver creato una patch del 60%, ci lascia più dubbi su ciò che sta accadendo.
Non è un bug di VLC
Hai anche controllato questo?
Nessuno può riprodurre questo problema qui.- VideoLAN (@videolan) Luglio 23, 2019
Hai anche controllato questo? Nessuno può riprodurre questo problema qui »
Al momento della stesura di questo articolo, VideoLan sembra molto indignato per ciò che hanno fatto CVE e Mitre. Primo si lamentano che non sono stati in contatto con loro da anni e ora pubblicano questa sentenza senza dir loro nulla. Poi lo dicono non un problema tecnico VLC, ma da una libreria di terze parti relativa ai file MKV, che è stata corretta per mesi:
Informazioni sul "problema di sicurezza" su #VLC : VLC non è vulnerabile.
tl; dr: il problema si trova in una libreria di terze parti, chiamata libebml, che è stata risolta più di 3 mesi fa.
VLC dalla versione 3.0.3 ha fornito la versione corretta e @MITREcorp non ha nemmeno verificato la loro richiesta.Discussione:
- VideoLAN (@videolan) Luglio 24, 2019
"Informazioni sulla 'falla di sicurezza' in #VLC": VLC non è vulnerabile. tl; dr: il bug si trova in una libreria di terze parti, chiamata libebml, che è stata risolta più di 16 mesi fa. VLC fornisce la versione corretta dalla 3.0.3 e Mitre non ha nemmeno controllato quello che ha pubblicato »
Un bug molto difficile da sfruttare
L'azienda che sviluppa uno dei player più apprezzati del pianeta ha anche un'altra lamentela: come è possibile un problema tecnico che non può essere sfruttato ha raggiunto un 9.8 su 10 nella scala di pericolosità? Dicono anche che, nel peggiore dei casi, è impossibile rubare dati dal computer o eseguire codice da remoto, la cosa più grave è causare un "crash" nel sistema operativo.
VideoLan già utilizzato una patch che risolve a Fallimento che dicono che non esiste più sul tuo lettore. Assicurano che sia corretto a partire da VLC v3.0.3, ma solo pochi minuti fa hanno contrassegnato quella patch come "chiusa". La verità è che 3.0.3 appare come la versione interessata. Come se non bastasse, il NIST ha modificato iscrizione su questa vulnerabilità dicendo che «Questa vulnerabilità è stata modificata dall'ultima analisi di NVD. Stai aspettando una nuova analisi che potrebbe portare a nuovi cambiamenti nelle informazioni fornite", che significa che le prime analisi non sono corrette.
Alcuni dicono che è super pericoloso usare VLC, è stato addirittura consigliato di disinstallarlo, altri dicono che devi controllare cosa è pubblicato e che il bug non esiste, altri modificano i loro articoli originali ... L'unica cosa certa è che non disinstallo VLC.