„Az ég leesik; távolítsa el a VLC-t azonnal!” Ez a tanács néhány webhelyen. Ám az állítólagos VLC-hiba túlzott – és a VLC fejlesztői szerint nem is jelenthet valós kockázatot.
Ez a felhajtás minden a megjelenésével kezdődött CVE-2019-13615, amely „kritikus” sérülékenységként van megjelölve 9,8 ponttal a 10-ből. A VLC fejlesztői nem örülnek annak, hogy a hiba közzététele előtt nem is vették fel velük a kapcsolatot.
Hé @MITREcorp és @CVEnew , az a tény, hogy a közzététel előtt évekig SOHA nem fordul hozzánk VLC sebezhetősége miatt, az igazán nem menő; de legalább ellenőrizheti az adatait, vagy ellenőrizheti magát, mielőtt nyilvánosan elküldi a 9.8 CVSS sebezhetőségét…
— VideoLAN (@videolan) 2019. július 23
De rossz, nem? Ez 9,8 a 10-ből – a biztonsági hibák miatt ez úgy hangzik, mint egy bejövő nukleáris csapás. Ez a hiba állítólag távoli kódfuttatást eredményezhet, ami rossz. A támadók a VLC hibáján keresztül átvehetik az irányítást a rendszer felett.
Ahogy a CVE kifejti, ez a hiba helytelenül formázott MKV-fájlt igényel. Elméletileg, ha letölt egy rosszindulatú MKV-fájlt az internetről, és futtatja azt, az veszélyeztetheti a VLC-t – bár senki sem állítja, hogy ez a való világban valaha is megtörtént. Ezenkívül úgy tűnik, hogy a VLC macOS verzióját ez nem érinti.
Tehát még ha ez a hiba olyan súlyos is, mint amilyennek látszik, csak óvatosnak kell lennie az MKV fájlokkal – ne töltsön le nem megbízható MKV fájlokat, és ne játssza le őket VLC-ben, amíg ki nem adják a javítást. Maradj távol az MKV-tól, ha kalózkodsz a médiával.
De ne olyan gyorsan! A VLC fejlesztői azt mondják, hogy nem is tudják reprodukálni a problémát, ami arra utal, hogy komoly problémák vannak az eredeti kihasználási jelentéssel.
Ezt is ellenőrizted?
Ezt a kérdést itt senki sem tudja reprodukálni.
— VideoLAN (@videolan) 2019. július 23
A nap végén valószínűleg jó ötlet távol tartani magát a letöltött MKV-fájloktól, amíg a VLC ki nem javítja ezt a hibát. De tényleg csak ennyit kell tenned, és még ez is paranoiás.
Ahogy a VLC fejlesztői kifejtik a VideoLAN hibakövető:
„Sajnálom, de ez a hiba nem reprodukálható, és egyáltalán nem omlik össze a VLC.” -Jean-Baptiste Kempf
„Ha a VLC kritikus hibáját állító hírcikken keresztül jut el ehhez a jegyhez, azt javaslom, hogy először olvassa el a fenti megjegyzést, és gondolja át (ál)hírforrásait.” -Francois Cartegnie
„Ez nem ütközik össze a VLC 3.0.7.1 normál kiadásával” – Jean-Baptiste Kempf
Frissítés: Íme a VideoLAN hosszabb válasza. A fejlesztők szerint a jelenlegi VLC szoftverben egyáltalán nincs hiba.
Tehát egy riporter megnyitott egy hibát a bugtrackerünkön, amely kívül esik a jelentési szabályzaton, más néven írjon nekünk privát üzenetet a biztonsági álnéven.
Természetesen a hibakövetőnk nyilvános.
A kérdést természetesen nem tudtuk reprodukálni, és megpróbáltuk privátban felvenni a kapcsolatot a biztonsági kutatóval.
— VideoLAN (@videolan) 2019. július 24