„Panika! Nebo pada; odmah deinstalirajte VLC!” Ovo je savet koji se može naći na određenim veb lokacijama. Međutim, navodna greška u VLC-u je preuveličana, a prema rečima programera VLC-a, možda čak i ne predstavlja realnu opasnost.
Sva ova uzbuna je započela objavljivanjem CVE-2019-13615, koja je klasifikovana kao „kritična“ ranjivost sa ocenom 9,8 od 10. Programeri VLC-a su izrazili nezadovoljstvo što nisu bili kontaktirani pre nego što je ova greška javno objavljena.
Hej @MITREcorp i @CVEnew, činjenica da nas NIKADA ne obavestite o VLC ranjivostima pre objavljivanja, zaista nije fer; ali bi bar trebalo da proverite svoje informacije ili se uverite sami pre nego što objavite ranjivost od 9.8 CVSS…
— VideoLAN (@videolan) 23. jula 2019.
Ali to je loše, zar ne? Ocena od 9,8 od 10, kada se radi o bezbednosnim propustima, zvuči kao nuklearna katastrofa. Ovaj propust bi potencijalno mogao da dovede do udaljenog izvršavanja koda, što je naravno ozbiljan problem. Napadači bi mogli da preuzmu kontrolu nad vašim sistemom iskorišćavanjem greške u VLC-u.
Kako je objašnjeno u CVE izveštaju, ovaj nedostatak zahteva reprodukciju neispravno formatirane MKV datoteke. U teoriji, ukoliko preuzmete zlonamernu MKV datoteku sa interneta i pokrenete je, to bi moglo da ugrozi VLC, iako nema dokaza da se to ikada dogodilo u praksi. Takođe, čini se da ova ranjivost ne utiče na macOS verziju VLC-a.
Dakle, čak i da je ovaj propust zaista tako ozbiljan kako se čini, potrebno je samo biti oprezan sa MKV datotekama. Izbegavajte preuzimanje MKV datoteka iz nepouzdanih izvora i njihovo pokretanje u VLC-u dok se ne objavi zakrpa. Ako nabavljate medije sa sumnjivih izvora, posebno budite oprezni sa MKV formatom.
Međutim, nemojte žuriti sa zaključcima! Programeri VLC-a navode da uopšte ne mogu da reprodukuju problem, što ukazuje na ozbiljne nedostatke u originalnom izveštaju o eksploataciji.
Da li ste uopšte proverili ovo? Niko ovde ne uspeva da ponovi ovaj problem.
— VideoLAN (@videolan) 23. jula 2019.
Krajnji zaključak je da je verovatno preporučljivo izbegavati preuzimanje MKV datoteka dok VLC ne izda zakrpu za ovaj potencijalni problem. Ali, to je sve što zaista treba da uradite, i čak je i to preterano oprezno.
Kao što su programeri VLC-a objasnili na VideoLAN sistemu za praćenje grešaka:
“Izvinite, ali ovu grešku nije moguće reprodukovati i nikako ne ruši VLC.” -Jean-Baptiste Kempf
“Ako ste naišli na ovu objavu putem članka koji tvrdi da postoji kritična greška u VLC-u, predlažem da prvo pročitate gornji komentar i preispitate svoje (lažne) izvore informacija.” -Francois Cartegnie
“Ovo ne ruši normalno izdanje VLC 3.0.7.1” – Jean-Baptiste Kempf
Ažuriranje: Evo detaljnijeg odgovora od strane VideoLAN-a. Prema rečima programera, trenutni VLC softver uopšte nema navedenu ranjivost.
Dakle, izveštavač je prijavio grešku na našem sistemu za praćenje grešaka, što je protivno pravilima izveštavanja. Trebalo je da nas kontaktiraju privatno, preko bezbednosnog pseudonima. Naravno, naš sistem za praćenje grešaka je javan.
Nismo mogli da reprodukujemo problem, i pokušali smo da kontaktiramo bezbednosnog istraživača, privatno.
— VideoLAN (@videolan) 24. jula 2019.
