„Nebe padá; odinstalujte VLC hned teď!“ To je rada, kterou některé weby poskytují. Ale údajná chyba VLC je přehnaná – a podle vývojářů VLC ani nemusí být skutečným rizikem.
Celý tento rozruch začal zveřejněním CVE-2019-13615, která je označena jako „kritická“ zranitelnost se skóre 9,8 z 10. Vývojáři VLC nejsou rádi, že nebyli ani kontaktováni před zveřejněním této chyby.
Ahoj @MITREcorp a @CVEnew , fakt, že nás NIKDY nekontaktujete kvůli zranitelnosti VLC roky před zveřejněním, opravdu není cool; ale alespoň byste si mohli zkontrolovat své údaje nebo sami sebe, než veřejně odešlete zranitelnost 9.8 CVSS…
— VideoLAN (@videolan) 23. července 2019
Ale je to špatné, že? To je 9,8 z 10 – pokud jde o bezpečnostní chyby, zní to jako přicházející jaderný útok. Tato chyba by údajně mohla vést ke vzdálenému spuštění kódu, což je špatné. Útočníci by mohli získat kontrolu nad vaším systémem prostřednictvím chyby ve VLC.
Jak vysvětluje CVE, tato chyba vyžaduje přehrání poškozeného souboru MKV. Teoreticky, pokud si stáhnete škodlivý soubor MKV z webu a spustíte jej, mohlo by to kompromitovat VLC – ačkoli nikdo netvrdí, že se to v reálném světě nikdy nestalo. Také se nezdá, že by to ovlivnilo verzi VLC pro macOS.
Takže i když je tato chyba tak špatná, jak se zdá, musíte být opatrní na soubory MKV – nestahujte nedůvěryhodné soubory MKV a nepřehrávejte je ve VLC, dokud nebude vydána oprava. Držte se dál od MKV, pokud pirátíte média.
Ale ne tak rychle! Vývojáři VLC tvrdí, že problém ani nedokážou reprodukovat, což naznačuje, že s původní zprávou o zneužití jsou vážné problémy.
Zkontroloval jsi to vůbec?
Nikdo zde nemůže tento problém reprodukovat.
— VideoLAN (@videolan) 23. července 2019
Na konci dne je pravděpodobně dobrý nápad držet se dál od stažených souborů MKV, dokud VLC tuto chybu neopraví. Ale to je vše, co byste opravdu potřebovali udělat, a dokonce i to je být trochu paranoidní.
Jak vysvětlují vývojáři VLC na VideoLAN bug tracker:
„Je nám líto, ale tato chyba není reprodukovatelná a vůbec nezpůsobuje pád VLC.“ Jean-Baptiste Kempf
„Pokud se dostanete na tento lístek prostřednictvím zpravodajského článku, který tvrdí kritickou chybu ve VLC, doporučuji vám, abyste si nejprve přečetli výše uvedený komentář a přehodnotili své (falešné) zdroje zpráv.“ – Francois Cartegnie
„Toto nezhroutí normální vydání VLC 3.0.7.1“ -Jean-Baptiste Kempf
Aktualizace: Zde je delší odpověď VideoLAN. Podle vývojářů není v současném softwaru VLC vůbec chyba.
Takže reportér otevřel chybu na našem bugtrackeru, který je mimo zásady hlášení, alias, pošlete nám soukromou zprávu na bezpečnostní alias.
Náš bugtracker je samozřejmě veřejný.
Tento problém jsme samozřejmě nemohli reprodukovat a pokusili jsme se kontaktovat bezpečnostního výzkumníka soukromě.
— VideoLAN (@videolan) 24. července 2019