“Il cielo sta cadendo; disinstalla VLC adesso! ” Questo è il consiglio fornito da alcuni siti web. Ma il presunto difetto di VLC è esagerato e, secondo gli sviluppatori di VLC, potrebbe non essere nemmeno un rischio reale.
Tutto questo scompiglio è iniziato con la pubblicazione di CVE-2019-13615, che è contrassegnata come una vulnerabilità “critica” con un punteggio di 9,8 su 10. Gli sviluppatori di VLC non sono contenti di non essere stati nemmeno contattati prima della pubblicazione di questo difetto.
Hey @MITREcorp e @CVEnew , il fatto che non ci contattiate MAI per le vulnerabilità di VLC per anni prima della pubblicazione non è davvero interessante; ma almeno potresti controllare le tue informazioni o controllare tu stesso prima di inviare pubblicamente la vulnerabilità 9.8 CVSS …
– VideoLAN (@videolan) 23 luglio 2019
Ma è brutto, vero? Sono 9,8 su 10: per quanto riguarda le falle di sicurezza, sembra un attacco nucleare in arrivo. Secondo quanto riferito, questo difetto potrebbe provocare l’esecuzione di codice in modalità remota, il che è negativo. Gli aggressori potrebbero ottenere il controllo del tuo sistema attraverso un bug in VLC.
Come spiega il CVE, questo difetto richiede la riproduzione di un file MKV non valido. In teoria, se scarichi un file MKV dannoso dal web e lo esegui, potrebbe compromettere VLC, anche se nessuno afferma che ciò sia mai accaduto nel mondo reale. Inoltre, la versione macOS di VLC non sembra essere interessata.
Quindi, anche se questo difetto è così grave come sembra, devi solo stare attento ai file MKV: non scaricare file MKV non attendibili e riprodurli in VLC fino al rilascio di una patch. Stai lontano da MKV se stai piratando i media.
Ma non così in fretta! Gli sviluppatori di VLC affermano di non poter nemmeno riprodurre il problema, suggerendo che ci sono seri problemi con il rapporto di exploit originale.
Hai anche controllato questo?
Nessuno può riprodurre questo problema qui.
– VideoLAN (@videolan) 23 luglio 2019
Alla fine della giornata, è probabilmente una buona idea stare lontano dai file MKV scaricati fino a quando VLC non correggerà questo difetto. Ma è tutto ciò di cui avresti veramente bisogno, e anche questo è un po ‘paranoico.
Come spiegano gli sviluppatori di VLC sul Tracciatore di bug VideoLAN:
“Mi spiace, ma questo bug non è riproducibile e non causa alcun arresto anomalo di VLC.” -Jean-Baptiste Kempf
“Se atterri su questo biglietto tramite un articolo di notizie che rivendica un difetto critico in VLC, ti suggerisco di leggere prima il commento sopra e riconsiderare le tue fonti di notizie (false).” -Francois Cartegnie
“Questo non blocca una normale versione di VLC 3.0.7.1” -Jean-Baptiste Kempf
Aggiornamento: ecco la risposta più lunga di VideoLAN. Secondo gli sviluppatori, l’attuale software VLC non presenta alcun difetto.
Quindi, un giornalista, ha aperto un bug sul nostro bugtracker, che è al di fuori della politica di segnalazione, ovvero, inviaci una mail in privato sull’alias di sicurezza.
Ovviamente, il nostro bugtracker è pubblico.
Ovviamente non siamo riusciti a riprodurre il problema e abbiamo provato a contattare il ricercatore di sicurezza in privato.
– VideoLAN (@videolan) 24 luglio 2019