Unele site-uri web avertizează: „Cerul se prăbușește! Dezinstalați imediat VLC!”. Cu toate acestea, presupusa vulnerabilitate a VLC este exagerată și, conform dezvoltatorilor săi, ar putea să nu reprezinte deloc un pericol real.
Agitația a pornit de la publicarea CVE-2019-13615, o vulnerabilitate considerată „critică”, cu un scor de 9,8 din 10. Echipa VLC nu este deloc mulțumită de faptul că nu a fost consultată înainte de dezvăluirea acestei potențiale probleme.
Hei @MITREcorp și @CVEnew, faptul că NU ne contactați niciodată în legătură cu vulnerabilitățile VLC cu ani înainte de publicare nu este deloc frumos; dar măcar ați putea verifica informațiile sau să faceți o revizuire înainte să publicați o vulnerabilitate de 9.8 CVSS…
— VideoLAN (@videolan) 23 iulie 2019
Un scor de 9,8 din 10, în contextul vulnerabilităților de securitate, pare a fi o amenințare majoră. Defectul ar putea permite executarea de cod de la distanță, ceea ce ar însemna că atacatorii ar putea prelua controlul asupra sistemului, exploatând o eroare din VLC.
Conform CVE, vulnerabilitatea apare la redarea unui fișier MKV corupt. În teorie, descărcarea unui astfel de fișier de pe internet și deschiderea lui în VLC ar putea compromite aplicația, deși nu există dovezi că acest lucru s-ar fi întâmplat vreodată în realitate. Versiunea pentru macOS a VLC nu pare să fie afectată.
Chiar dacă vulnerabilitatea este gravă, ar trebui să fim atenți la fișierele MKV. Evitați descărcarea fișierelor MKV de surse nesigure și redarea lor în VLC până când nu se lansează un patch. Dacă descărcați ilegal conținut media, fiți și mai precauți.
Totuși, dezvoltatorii VLC susțin că nu pot reproduce problema, ceea ce sugerează că există neconcordanțe în raportul original despre vulnerabilitate.
Ați verificat măcar asta?
Nimeni nu poate reproduce problema aici.
— VideoLAN (@videolan) 23 iulie 2019
Cel mai înțelept lucru este să evitați fișierele MKV descărcate de pe surse necunoscute până când problema este rezolvată. Dar nici măcar această precauție nu este obligatorie și ar putea părea exagerată.
Pe bug tracker-ul VideoLAN, dezvoltatorii VLC comentează:
„Ne pare rău, dar această eroare nu este reproductibilă și nu blochează VLC deloc.” – Jean-Baptiste Kempf
„Dacă ați ajuns la această problemă dintr-un articol de știri care susține existența unei defecțiuni critice în VLC, vă recomand să citiți comentariul de mai sus și să vă reconsiderați sursele de informații (false).” – Francois Cartegnie
„Această problemă nu blochează o versiune normală de VLC 3.0.7.1” – Jean-Baptiste Kempf
Actualizare: Iată răspunsul detaliat al VideoLAN. Dezvoltatorii afirmă că nu există nicio defecțiune în versiunea actuală a software-ului VLC.
Așadar, un jurnalist a deschis o eroare pe bug tracker-ul nostru, ceea ce nu este conform politicii noastre de raportare – adică, ar trebui să ne trimită un e-mail privat la aliasul de securitate. Desigur, bug tracker-ul nostru este public.
Desigur, nu am putut reproduce problema și am încercat să luăm legătura în privat cu cercetătorul în securitate.
— VideoLAN (@videolan) 24 iulie 2019