Algumas horas atrás, um falha de segurança no VLC que é marcado com 9.8 de 10 na escala de perigo. A "falha crítica" foi descoberta por CERT-Bund e publicada por WinFuture (em alemão), onde eles descrevem uma vulnerabilidade que permite a execução remota de código, o que pode permitir que um usuário mal-intencionado remoto instale, modifique ou execute código sem que percebamos ou mesmo acessemos arquivos em nosso sistema. Também foi espalhado por Mitra.
As versões afetadas seriam as do Linux, Windows e Unix, sendo o macOS seguro, tudo de acordo com o WinFuture e o restante das fontes que divulgaram esta informação. A boa notícia é que ninguém explorou a vulnerabilidade, o que, juntamente com a versão VideoLan, nos deixa pensando se tudo isso é real ou um falso alarme. Mas a verdade é que a versão VideoLan, ou uma versão de terceiros que dizia ter criado um patch de 60%, nos deixa mais dúvidas sobre o que está acontecendo.
Não é um bug do VLC
Você ao menos verificou isso?
Ninguém pode reproduzir este problema aqui.- VideoLAN (@videolan) 23 de julho de 2019
Você ao menos verificou isso? Ninguém pode reproduzir este problema aqui »
No momento em que este livro foi escrito, VideoLan parecia muito indignado com o que CVE e Mitre fizeram. Primeiro se queixam que não têm contato com eles há anos e agora eles publicam esta decisão sem lhes dizer nada. Então eles dizem que não é uma falha de VLC, mas de uma biblioteca de terceiros relacionada a arquivos MKV, que foi corrigida por meses:
Sobre o "problema de segurança" em #VLC : VLC não é vulnerável.
tl; dr: o problema está em uma biblioteca de terceiros, chamada libebml, que foi corrigida há mais de 3 meses.
VLC desde a versão 3.0.3 tem a versão correta enviada, e @MITREcorp nem mesmo verificou sua reclamação.Fio:
- VideoLAN (@videolan) 24 de julho de 2019
"Sobre a 'falha de segurança' em #VLC": o VLC não é vulnerável. tl; dr: o bug está em uma biblioteca de terceiros, chamada libebml, que foi corrigida há mais de 16 meses. VLC entrega a versão correta desde 3.0.3, e Mitre nem verificou o que publicou »
Um bug muito difícil de explorar
A empresa que desenvolve um dos players mais populares do planeta também tem outra reclamação: como é possível que uma falha que não pode ser explorada alcançou 9.8 de 10 na escala de periculosidade? Dizem também que, na pior das hipóteses, é impossível roubar dados do computador ou executar código remotamente, sendo o mais grave causando um "crash" no sistema operacional.
VideoLan já usado um patch isso resolve um O fracasso de que eles dizem que não existe mais no seu jogador. Eles garantem que está corrigido desde o VLC v3.0.3, mas apenas alguns minutos atrás eles marcaram esse patch como "fechado". A verdade é que 3.0.3 aparece como a versão afetada. Como se isso não bastasse, o NIST modificou entrada sobre esta vulnerabilidade dizendo que «Esta vulnerabilidade foi modificada desde que foi analisada pela última vez pelo NVD. Você está esperando por uma nova análise que pode levar a novas mudanças nas informações fornecidas", o que significa que as primeiras análises não estão corretas.
Alguns dizem que é super perigoso usar o VLC, até foi recomendado desinstalá-lo, outros dizem que você tem que verificar o que está publicado e que o bug não existe, outros modificam seus artigos originais ... A única coisa certa é que eu não desinstalo o VLC.
