“De lucht valt; verwijder VLC nu meteen! ” Dat is het advies dat sommige websites geven. Maar de vermeende VLC-fout is overdreven – en is volgens de ontwikkelaars van VLC misschien niet eens een reëel risico.
Deze commotie begon allemaal met de publicatie van CVE-2019-13615, die wordt gemarkeerd als een ‘kritieke’ kwetsbaarheid met een score van 9,8 op 10. De ontwikkelaars van VLC zijn niet blij dat ze niet eens zijn gecontacteerd voordat deze fout werd gepubliceerd. .
Hallo @MITREcorp en @CVEnew , het feit dat u NOOIT jarenlang contact met ons opneemt voor VLC-kwetsbaarheden voordat u publiceert, is echt niet cool; maar je zou tenminste je info kunnen controleren of jezelf kunnen controleren voordat je 9.8 CVSS-kwetsbaarheid publiekelijk verstuurt …
– VideoLAN (@videolan) 23 juli 2019
Maar het is slecht, toch? Dat is 9,8 van de 10 – wat beveiligingsfouten betreft, klinkt het als een inkomende nucleaire aanval. Deze fout zou naar verluidt kunnen resulteren in het uitvoeren van externe code, wat slecht is. Aanvallers kunnen controle krijgen over uw systeem door een bug in VLC.
Zoals de CVE uitlegt, vereist deze fout het afspelen van een misvormd MKV-bestand. Als je een kwaadaardig MKV-bestand van internet downloadt en het uitvoert, kan dit in theorie de VLC in gevaar brengen – hoewel niemand beweert dat dit ooit in de echte wereld is gebeurd. Ook lijkt de macOS-versie van VLC niet te worden beïnvloed.
Dus zelfs als deze fout zo erg is als hij lijkt, moet je gewoon voorzichtig zijn met MKV-bestanden – download geen onbetrouwbare MKV-bestanden en speel ze af in VLC totdat er een patch is uitgebracht. Blijf uit de buurt van MKV als u media illegaal maakt.
Maar niet zo snel! De ontwikkelaars van VLC zeggen dat ze het probleem niet eens kunnen reproduceren, wat suggereert dat er ernstige problemen zijn met het oorspronkelijke exploitrapport.
Heb je dit zelfs gecontroleerd?
Niemand kan dit probleem hier reproduceren.– VideoLAN (@videolan) 23 juli 2019
Aan het eind van de dag is het waarschijnlijk een goed idee om weg te blijven van gedownloade MKV-bestanden totdat VLC deze fout repareert. Maar dat is alles wat je echt hoeft te doen, en zelfs dat is een beetje paranoïde.
Zoals de ontwikkelaars van VLC uitleggen over de VideoLAN-bugtracker:
“Sorry, maar deze bug is niet reproduceerbaar en crasht VLC helemaal niet.” -Jean-Baptiste Kempf
“Als je op dit ticket terechtkomt via een nieuwsartikel dat een kritieke fout in VLC claimt, raad ik je aan eerst de bovenstaande opmerking te lezen en je (nep) nieuwsbronnen te heroverwegen.” -Francois Cartegnie
“Dit crasht niet een normale uitgave van VLC 3.0.7.1” -Jean-Baptiste Kempf
Bijwerken: Hier is de langere reactie van VideoLAN. Volgens de ontwikkelaars zit er helemaal geen fout in de huidige VLC-software.
Dus een reporter opende een bug op onze bugtracker, die buiten het rapportagebeleid valt, oftewel, mail ons privé op de beveiligingsalias.
Natuurlijk is onze bugtracker openbaar.We konden het probleem natuurlijk niet reproduceren en probeerden privé contact op te nemen met de beveiligingsonderzoeker.
– VideoLAN (@videolan) 24 juli 2019