“Πέφτει ο ουρανός; απεγκαταστήστε το VLC τώρα!» Αυτή είναι η συμβουλή που παρέχουν ορισμένοι ιστότοποι. Αλλά το υποτιθέμενο ελάττωμα του VLC είναι υπερβολικό – και, σύμφωνα με τους προγραμματιστές του VLC, μπορεί να μην είναι καν πραγματικός κίνδυνος.
Αυτή η αναταραχή ξεκίνησε με τη δημοσίευση του CVE-2019-13615, το οποίο επισημαίνεται ως «κρίσιμη» ευπάθεια με βαθμολογία 9,8 στα 10. Οι προγραμματιστές του VLC δεν είναι ευχαριστημένοι που δεν είχαν καν επικοινωνήσει πριν από τη δημοσίευση αυτού του ελαττώματος.
Γεια σου @MITREcorp και @CVEnew , το γεγονός ότι ΠΟΤΕ δεν επικοινωνήσατε μαζί μας για ευπάθειες VLC για χρόνια πριν από τη δημοσίευση δεν είναι πραγματικά ωραίο. αλλά τουλάχιστον θα μπορούσατε να ελέγξετε τις πληροφορίες σας ή να ελέγξετε τον εαυτό σας πριν στείλετε δημόσια ευπάθεια 9.8 CVSS…
— VideoLAN (@videolan) 23 Ιουλίου 2019
Αλλά είναι κακό, σωστά; Αυτό είναι 9,8 στα 10—όσο τα ελαττώματα ασφαλείας συνεχίζονται, ακούγεται σαν επερχόμενο πυρηνικό χτύπημα. Αυτό το ελάττωμα φέρεται να έχει ως αποτέλεσμα την απομακρυσμένη εκτέλεση κώδικα, κάτι που είναι κακό. Οι εισβολείς θα μπορούσαν να αποκτήσουν τον έλεγχο του συστήματός σας μέσω ενός σφάλματος στο VLC.
Όπως εξηγεί το CVE, αυτό το ελάττωμα απαιτεί την αναπαραγωγή ενός αρχείου MKV με κακή μορφή. Θεωρητικά, εάν κατεβάσετε ένα κακόβουλο αρχείο MKV από τον Ιστό και το εκτελέσετε, θα μπορούσε να θέσει σε κίνδυνο το VLC—αν και κανείς δεν ισχυρίζεται ότι αυτό έχει συμβεί ποτέ στον πραγματικό κόσμο. Επίσης, η έκδοση macOS του VLC δεν φαίνεται να επηρεάζεται.
Έτσι, ακόμα κι αν αυτό το ελάττωμα είναι τόσο κακό όσο φαίνεται, απλά πρέπει να είστε προσεκτικοί με τα αρχεία MKV—μην κάνετε λήψη μη αξιόπιστων αρχείων MKV και αναπαραγωγή τους σε VLC μέχρι να κυκλοφορήσει μια ενημέρωση κώδικα. Μείνετε μακριά από το MKV εάν κάνετε πειρατεία μέσων.
Όχι όμως τόσο γρήγορα! Οι προγραμματιστές του VLC λένε ότι δεν μπορούν καν να αναπαραγάγουν το ζήτημα, υποδηλώνοντας ότι υπάρχουν σοβαρά προβλήματα με την αρχική αναφορά εκμετάλλευσης.
Το ελέγξατε καν αυτό;
Κανείς δεν μπορεί να αναπαράγει αυτό το θέμα εδώ.
— VideoLAN (@videolan) 23 Ιουλίου 2019
Στο τέλος της ημέρας, είναι πιθανώς καλή ιδέα να μείνετε μακριά από τα ληφθέντα αρχεία MKV έως ότου το VLC διορθώσει αυτό το ελάττωμα. Αλλά αυτό είναι το μόνο που θα έπρεπε πραγματικά να κάνετε, και ακόμη και αυτό είναι κάπως παρανοϊκό.
Όπως εξηγούν οι προγραμματιστές του VLC στο Παρακολούθηση σφαλμάτων VideoLAN:
“Συγγνώμη, αλλά αυτό το σφάλμα δεν μπορεί να αναπαραχθεί και δεν διακόπτει καθόλου το VLC.” -Jean-Baptiste Kempf
“Εάν προσγειωθείτε σε αυτό το εισιτήριο μέσω ενός ειδησεογραφικού άρθρου που υποστηρίζει ένα κρίσιμο ελάττωμα στο VLC, σας προτείνω να διαβάσετε πρώτα το παραπάνω σχόλιο και να επανεξετάσετε τις (ψευδείς) πηγές ειδήσεων σας.” -Φρανσουά Καρτένιε
“Αυτό δεν διακόπτει την κανονική έκδοση του VLC 3.0.7.1” -Jean-Baptiste Kempf
Ενημέρωση: Ακολουθεί η πιο εκτενής απάντηση του VideoLAN. Σύμφωνα με τους προγραμματιστές, δεν υπάρχει καθόλου ελάττωμα στο τρέχον λογισμικό VLC.
Έτσι, ένας ρεπόρτερ, άνοιξε ένα σφάλμα στον εντοπισμό σφαλμάτων μας, το οποίο είναι εκτός της πολιτικής αναφοράς, γνωστός και ως, στείλτε μας mail ιδιωτικά στο ψευδώνυμο ασφαλείας.
Φυσικά, ο bugtracker μας είναι δημόσιος.
Δεν μπορέσαμε, φυσικά, να αναπαραγάγουμε το ζήτημα και προσπαθήσαμε να επικοινωνήσουμε με τον ερευνητή ασφαλείας, ιδιωτικά.
— VideoLAN (@videolan) 24 Ιουλίου 2019