„Cerul cade; dezinstalează VLC chiar acum!” Acesta este sfatul pe care îl oferă unele site-uri web. Dar pretinsul defect VLC este exagerat și, potrivit dezvoltatorilor VLC, poate nici măcar să nu fie un risc real.
Această zarvă a început odată cu publicarea lui CVE-2019-13615, care este marcată ca o vulnerabilitate „critică” cu un scor de 9,8 din 10. Dezvoltatorii VLC nu sunt fericiți că nici măcar nu au fost contactați înainte de publicarea acestui defect.
Hei @MITREcorp și @CVEnew , faptul că nu ne contactați NICIODATĂ pentru vulnerabilități VLC cu ani de zile înainte de publicare nu este într-adevăr mișto; dar cel puțin ați putea să vă verificați informațiile sau să vă verificați înainte de a trimite public vulnerabilitatea 9.8 CVSS…
— VideoLAN (@videolan) 23 iulie 2019
Dar e rău, nu? Adică 9,8 din 10 – pe măsură ce se întâmplă defectele de securitate, sună ca o lovitură nucleară care vine. Se pare că această defecțiune ar putea duce la executarea codului de la distanță, ceea ce este rău. Atacatorii ar putea obține controlul asupra sistemului dvs. printr-o eroare în VLC.
După cum explică CVE, acest defect necesită redarea unui fișier MKV malformat. În teorie, dacă descărcați un fișier MKV rău intenționat de pe web și îl rulați, acesta ar putea compromite VLC – deși nimeni nu susține că acest lucru s-a întâmplat vreodată în lumea reală. De asemenea, versiunea macOS a VLC nu pare să fie afectată.
Deci, chiar dacă această defecțiune este atât de gravă pe cât pare, trebuie doar să fiți atenți la fișierele MKV – nu descărcați fișiere MKV care nu sunt de încredere și le redați în VLC până când este lansat un patch. Stai departe de MKV dacă piratezi media.
Dar nu atât de repede! Dezvoltatorii VLC spun că nici măcar nu pot reproduce problema, sugerând că există probleme serioase cu raportul original de exploatare.
Ai verificat măcar asta?
Nimeni nu poate reproduce această problemă aici.
— VideoLAN (@videolan) 23 iulie 2019
La sfârșitul zilei, probabil că este o idee bună să stai departe de fișierele MKV descărcate până când VLC corectează acest defect. Dar asta este tot ce ar trebui să faci cu adevărat și chiar și asta înseamnă să fii un fel de paranoic.
După cum explică dezvoltatorii VLC pe Urmăritor de erori VideoLAN:
„Ne pare rău, dar această eroare nu este reproductibilă și nu blochează deloc VLC.” -Jean-Baptiste Kempf
„Dacă obțineți acest bilet printr-un articol de știri care susține o defecțiune critică în VLC, vă sugerez să citiți mai întâi comentariul de mai sus și să vă reconsiderați sursele de știri (false). -Francois Cartegnie
„Acest lucru nu blochează o versiune normală a VLC 3.0.7.1” -Jean-Baptiste Kempf
Actualizare: Iată răspunsul mai lung al VideoLAN. Potrivit dezvoltatorilor, nu există deloc un defect în actualul software VLC.
Deci, un reporter, a deschis o eroare pe bugtracker-ul nostru, care este în afara politicii de raportare, adică trimiteți-ne un e-mail în privat pe aliasul de securitate.
Desigur, bugtracker-ul nostru este public.
Desigur, nu am putut reproduce problema și am încercat să luăm legătura cu cercetătorul de securitate, în privat.
— VideoLAN (@videolan) 24 iulie 2019