Nem, nem kell eltávolítania a VLC-t

„Az ég leesik; távolítsa el a VLC-t azonnal!” Ez a tanács néhány webhelyen. Ám az állítólagos VLC-hiba túlzott – és a VLC fejlesztői szerint nem is jelenthet valós kockázatot.

Ez a felhajtás minden a megjelenésével kezdődött CVE-2019-13615, amely „kritikus” sérülékenységként van megjelölve 9,8 ponttal a 10-ből. A VLC fejlesztői nem örülnek annak, hogy a hiba közzététele előtt nem is vették fel velük a kapcsolatot.

@MITREcorp és @CVEnew , az a tény, hogy a közzététel előtt évekig SOHA nem fordul hozzánk VLC sebezhetősége miatt, az igazán nem menő; de legalább ellenőrizheti az adatait, vagy ellenőrizheti magát, mielőtt nyilvánosan elküldi a 9.8 CVSS sebezhetőségét…

— VideoLAN (@videolan) 2019. július 23

  A Skype telepítése Linuxra

De rossz, nem? Ez 9,8 a 10-ből – a biztonsági hibák miatt ez úgy hangzik, mint egy bejövő nukleáris csapás. Ez a hiba állítólag távoli kódfuttatást eredményezhet, ami rossz. A támadók a VLC hibáján keresztül átvehetik az irányítást a rendszer felett.

Ahogy a CVE kifejti, ez a hiba helytelenül formázott MKV-fájlt igényel. Elméletileg, ha letölt egy rosszindulatú MKV-fájlt az internetről, és futtatja azt, az veszélyeztetheti a VLC-t – bár senki sem állítja, hogy ez a való világban valaha is megtörtént. Ezenkívül úgy tűnik, hogy a VLC macOS verzióját ez nem érinti.

Tehát még ha ez a hiba olyan súlyos is, mint amilyennek látszik, csak óvatosnak kell lennie az MKV fájlokkal – ne töltsön le nem megbízható MKV fájlokat, és ne játssza le őket VLC-ben, amíg ki nem adják a javítást. Maradj távol az MKV-tól, ha kalózkodsz a médiával.

  Hogyan telepítsük a Matcha témát Linuxra

De ne olyan gyorsan! A VLC fejlesztői azt mondják, hogy nem is tudják reprodukálni a problémát, ami arra utal, hogy komoly problémák vannak az eredeti kihasználási jelentéssel.

Ezt is ellenőrizted?
Ezt a kérdést itt senki sem tudja reprodukálni.

— VideoLAN (@videolan) 2019. július 23

A nap végén valószínűleg jó ötlet távol tartani magát a letöltött MKV-fájloktól, amíg a VLC ki nem javítja ezt a hibát. De tényleg csak ennyit kell tenned, és még ez is paranoiás.

Ahogy a VLC fejlesztői kifejtik a VideoLAN hibakövető:

„Sajnálom, de ez a hiba nem reprodukálható, és egyáltalán nem omlik össze a VLC.” -Jean-Baptiste Kempf

„Ha a VLC kritikus hibáját állító hírcikken keresztül jut el ehhez a jegyhez, azt javaslom, hogy először olvassa el a fenti megjegyzést, és gondolja át (ál)hírforrásait.” -Francois Cartegnie

  A szélességi és hosszúsági fokok megtalálása az Apple Maps alkalmazásban

„Ez nem ütközik össze a VLC 3.0.7.1 normál kiadásával” – Jean-Baptiste Kempf

Frissítés: Íme a VideoLAN hosszabb válasza. A fejlesztők szerint a jelenlegi VLC szoftverben egyáltalán nincs hiba.

Tehát egy riporter megnyitott egy hibát a bugtrackerünkön, amely kívül esik a jelentési szabályzaton, más néven írjon nekünk privát üzenetet a biztonsági álnéven.
Természetesen a hibakövetőnk nyilvános.

A kérdést természetesen nem tudtuk reprodukálni, és megpróbáltuk privátban felvenni a kapcsolatot a biztonsági kutatóval.

— VideoLAN (@videolan) 2019. július 24