„Небето пада; деинсталирайте VLC веднага!” Това е съветът, който предоставят някои уебсайтове. Но предполагаемият VLC недостатък е преувеличен – и според разработчиците на VLC може дори да не представлява реален риск.
Всичко това започна с публикуването на CVE-2019-13615, което е отбелязано като „критична“ уязвимост с оценка 9,8 от 10. Разработчиците на VLC не са доволни, че дори не са се свързали преди публикуването на този недостатък.
Хей @MITREcorp и @CVEnew , фактът, че НИКОГА не се свързвате с нас за уязвимости във VLC години преди публикуване, наистина не е готин; но поне можете да проверите информацията си или да проверите себе си, преди да изпратите публично уязвимостта 9.8 CVSS…
— VideoLAN (@videolan) 23 юли 2019 г
Но е лошо, нали? Това е 9,8 от 10 — като се имат предвид пропуските в сигурността, звучи като приближаващ ядрен удар. Съобщава се, че този недостатък може да доведе до отдалечено изпълнение на код, което е лошо. Атакуващите могат да получат контрол над вашата система чрез грешка във VLC.
Както обяснява CVE, този недостатък изисква възпроизвеждане на неправилно оформен MKV файл. На теория, ако изтеглите злонамерен MKV файл от мрежата и го стартирате, той може да компрометира VLC – въпреки че никой не твърди, че това някога се е случвало в реалния свят. Също така изглежда, че версията на VLC за macOS не е засегната.
Така че, дори ако този недостатък е толкова лош, колкото изглежда, просто трябва да внимавате за MKV файловете – не изтегляйте ненадеждни MKV файлове и ги възпроизвеждайте във VLC, докато не бъде пусната корекция. Стойте далеч от MKV, ако сте пиратски медии.
Но не толкова бързо! Разработчиците на VLC казват, че дори не могат да възпроизведат проблема, което предполага, че има сериозни проблеми с оригиналния доклад за експлоатиране.
Проверихте ли изобщо това?
Никой не може да възпроизведе този проблем тук.
— VideoLAN (@videolan) 23 юли 2019 г
В края на деня вероятно е добра идея да стоите далеч от изтеглените MKV файлове, докато VLC не поправи този недостатък. Но това е всичко, което наистина трябва да направите, и дори това е някак параноично.
Както обясняват разработчиците на VLC на VideoLAN проследяване на грешки:
„Съжаляваме, но тази грешка не е възпроизводима и изобщо не срива VLC.“ – Жан Батист Кемпф
„Ако попаднете на този билет чрез новинарска статия, в която се твърди критичен недостатък във VLC, предлагам ви първо да прочетете горния коментар и да преразгледате своите (фалшиви) източници на новини.“ -Франсоа Картени
„Това не срива нормална версия на VLC 3.0.7.1“ – Жан-Батист Кемпф
Актуализация: Ето по-продължителния отговор на VideoLAN. Според разработчиците изобщо няма недостатък в текущия VLC софтуер.
И така, репортер отвори грешка в нашия инструмент за проследяване на грешки, който е извън политиката за отчитане, известен още като, изпратете ни по поща на лични с псевдонима за сигурност.
Разбира се, нашият бъгтракер е публичен.
Разбира се, не можахме да възпроизведем проблема и се опитахме да се свържем с изследователя по сигурността насаме.
— VideoLAN (@videolan) 24 юли 2019 г