“Il cielo sta cadendo; disinstalla VLC adesso! ” Questo è il consiglio che alcuni siti Web stanno fornendo. Ma il presunto difetto di VLC è esagerato e, secondo gli sviluppatori di VLC, potrebbe non essere nemmeno un rischio reale.
Questa confusione è iniziata con la pubblicazione di CVE-2019-13615, che è contrassegnata come vulnerabilità “critica” con un punteggio di 9,8 su 10. Gli sviluppatori di VLC non sono contenti di non essere stati nemmeno contattati prima della pubblicazione di questo difetto .
Hey @MITREcorp e @CVEnew , il fatto che non ci abbia MAI mai contattato per vulnerabilità VLC per anni prima della pubblicazione non è davvero interessante; ma almeno potresti controllare le tue informazioni o te stesso prima di inviare pubblicamente la vulnerabilità del CVSS 9.8 …
– VideoLAN (@videolan) 23 luglio 2019
Ma è male, vero? Sono 9,8 su 10: man mano che mancano i difetti di sicurezza, sembra un attacco nucleare in arrivo. Questo difetto potrebbe comportare l'esecuzione di codice in modalità remota, il che è negativo. Gli aggressori potrebbero ottenere il controllo del tuo sistema attraverso un bug in VLC.
Come spiega il CVE, questo difetto richiede la riproduzione di un file MKV non valido. In teoria, se scarichi un file MKV dannoso dal web ed eseguilo, potrebbe compromettere VLC, anche se nessuno afferma che ciò sia mai accaduto nel mondo reale. Inoltre, la versione macOS di VLC non sembra essere interessata.
Quindi, anche se questo difetto sembra essere così grave, devi solo fare attenzione ai file MKV: non scaricare file MKV non attendibili e riprodurli in VLC fino al rilascio di una patch. Stai lontano da MKV se stai piratando i media.
Ma non così in fretta! Gli sviluppatori di VLC affermano di non poter nemmeno riprodurre il problema, suggerendo che ci sono seri problemi con il rapporto sull'exploit originale.
Hai mai controllato questo?
Nessuno può riprodurre questo problema qui.– VideoLAN (@videolan) 23 luglio 2019
Alla fine della giornata, è probabilmente una buona idea stare lontano dai file MKV scaricati fino a quando VLC corregge questo difetto. Ma è tutto ciò che avresti davvero bisogno di fare, e anche che è un po 'paranoico.
Come spiegano gli sviluppatori di VLC sul bug tracker di VideoLAN:
“Siamo spiacenti, ma questo bug non è riproducibile e non blocca affatto VLC.” -Jean-Baptiste Kempf
“Se atterri su questo biglietto attraverso un articolo di notizie che afferma un difetto critico in VLC, ti suggerisco di leggere prima il commento sopra e riconsiderare le tue (false) fonti di notizie.” -Francois Cartegnie
“Questo non provoca un arresto anomalo di una versione normale di VLC 3.0.7.1” -Jean-Baptiste Kempf
Aggiornare: Ecco la risposta più lunga di VideoLAN. Secondo gli sviluppatori, l'attuale software VLC non presenta alcun difetto.
Quindi, un giornalista, ha aperto un bug sul nostro bugtracker, che è al di fuori della politica di segnalazione, ovvero, inviateci in privato l'alias sulla sicurezza.
Certo, il nostro bugtracker è pubblico.Ovviamente non siamo riusciti a riprodurre il problema e abbiamo cercato di contattare il ricercatore di sicurezza, in privato.
– VideoLAN (@videolan) 24 luglio 2019
