VLC a údajná kritická chyba: Panika je zbytečná?
„Nebe padá, okamžitě odinstalujte VLC!“ Takovéto dramatické varování se objevilo na některých webech. Nicméně, zdá se, že celá aféra kolem údajné chyby v přehrávači VLC je značně přehnaná a dle samotných vývojářů VLC, nemusí se jednat o reálné nebezpečí.
Všechno odstartovalo zveřejnění CVE-2019-13615, označené jako „kritická“ zranitelnost s hodnocením 9,8 z 10. Vývojáři VLC vyjádřili své rozhořčení nad tím, že je nikdo před zveřejněním této zprávy nekontaktoval.
Ahoj @MITREcorp a @CVEnew, fakt, že nás NIKDY nekontaktujete ohledně zranitelnosti VLC roky před zveřejněním, opravdu není cool; ale alespoň byste si mohli zkontrolovat své údaje nebo sami sebe, než veřejně odešlete zranitelnost 9.8 CVSS…
— VideoLAN (@videolan) 23. července 2019
Ale je situace skutečně tak vážná? Hodnocení 9,8 z 10 v oblasti bezpečnostních rizik zní jako předzvěst apokalypsy. Údajně by tato chyba mohla umožnit vzdálené spuštění kódu, což je velmi nebezpečné. Teoreticky by útočníci mohli skrze tuto slabinu získat kontrolu nad vaším systémem.
Podle popisu CVE, pro zneužití této chyby je zapotřebí přehrát poškozený soubor MKV. Teoreticky, pokud si stáhnete na internetu škodlivý MKV soubor a spustíte jej, mohlo by to vést ke kompromitaci VLC. Nicméně nikdo dosud nepotvrdil, že by k něčemu takovému ve skutečnosti kdy došlo. Navíc se zdá, že verze VLC pro macOS není touto chybou ohrožena.
I když je tato chyba potenciálně nebezpečná, je důležité být obezřetný u souborů MKV. Nedoporučuje se stahovat a přehrávat nedůvěryhodné soubory MKV ve VLC, dokud nebude vydána oprava. Pokud si stahujete média neoficiální cestou, měli byste se formátu MKV vyvarovat.
Nicméně, zdá se, že situace není tak kritická. Vývojáři VLC tvrdí, že se jim problém nepodařilo reprodukovat. To naznačuje, že existují vážné pochybnosti o původní zprávě o zranitelnosti.
Zkontrolovali jste to vůbec?
Nikdo zde nemůže tento problém reprodukovat.
— VideoLAN (@videolan) 23. července 2019
Závěrem, je asi rozumné vyhnout se stahování MKV souborů, dokud VLC chybu nepotvrdí a neopraví. Ovšem i to je spíše forma opatrnosti než reálná potřeba.
Jak vývojáři VLC vysvětlují na VideoLAN bug tracker:
„Je nám líto, ale tuto chybu nelze reprodukovat a v žádném případě nezpůsobuje pád VLC.“ – Jean-Baptiste Kempf
„Pokud jste se na tento lístek dostali prostřednictvím zpravodajského článku, který tvrdí, že ve VLC je kritická chyba, doporučuji vám, abyste si nejprve přečetli komentář výše a přehodnotili své (falešné) zdroje zpráv.“ – Francois Cartegnie
„Toto nezpůsobí pád běžné verze VLC 3.0.7.1“ -Jean-Baptiste Kempf
Aktualizace: Zde je delší vyjádření od VideoLAN. Vývojáři tvrdí, že v současné verzi VLC žádná chyba není.
Takže reportér otevřel chybu na našem bugtrackeru, který je mimo zásady hlášení, alias, pošlete nám soukromou zprávu na bezpečnostní alias.
Náš bugtracker je samozřejmě veřejný.Tento problém jsme samozřejmě nemohli reprodukovat a pokusili jsme se kontaktovat bezpečnostního výzkumníka soukromě.
— VideoLAN (@videolan) 24. července 2019