„Небо пада; деинсталирајте ВЛЦ одмах!” То је савет који неке веб странице пружају. Али наводна грешка ВЛЦ-а је пренапухана—и, према ВЛЦ-овим програмерима, можда чак и није прави ризик.
Све ово метеж почело је објављивањем ЦВЕ-2019-13615, која је означена као „критична“ рањивост са оценом 9,8 од 10. Програмери ВЛЦ-а нису срећни што нису ни контактирани пре објављивања ове грешке.
Хеј @МИТРЕцорп и @ЦВЕнев , чињеница да нас НИКАД не контактирате због ВЛЦ рањивости годинама пре објављивања заиста није кул; али барем бисте могли да проверите своје податке или проверите себе пре него што јавно пошаљете рањивост 9.8 ЦВСС…
— ВидеоЛАН (@видеолан) 23. јула 2019. године
Али то је лоше, зар не? То је 9,8 од 10 — што се тиче безбедносних недостатака, звучи као надолазећи нуклеарни удар. Ова мана би наводно могла довести до даљинског извршавања кода, што је лоше. Нападачи би могли да стекну контролу над вашим системом преко грешке у ВЛЦ-у.
Као што ЦВЕ објашњава, ова мана захтева репродукцију погрешно обликоване МКВ датотеке. У теорији, ако преузмете злонамерну МКВ датотеку са веба и покренете је, она би могла да угрози ВЛЦ—иако нико не тврди да се то икада догодило у стварном свету. Такође, изгледа да то не утиче на мацОС верзију ВЛЦ-а.
Дакле, чак и ако је ова мана толико лоша колико се чини, само морате бити пажљиви са МКВ датотекама—не преузимајте непоуздане МКВ датотеке и репродукујте их у ВЛЦ-у док се закрпа не објави. Држите се даље од МКВ-а ако пирате медије.
Али не тако брзо! ВЛЦ-ови програмери кажу да не могу ни да репродукују проблем, сугеришући да постоје озбиљни проблеми са оригиналним извештајем о експлоатацији.
Јеси ли ово уопште проверио?
Нико не може да понови ово питање овде.
— ВидеоЛАН (@видеолан) 23. јула 2019. године
На крају дана, вероватно је добра идеја да се држите подаље од преузетих МКВ датотека док ВЛЦ не закрпи ову грешку. Али то је све што би заиста требало да урадите, а чак и то је помало параноично.
Као што ВЛЦ програмери објашњавају на ВидеоЛАН програм за праћење грешака:
„Извините, али ова грешка се не може репродуковати и уопште не руши ВЛЦ.“ -Јеан-Баптисте Кемпф
„Ако наиђете на ову карту кроз новински чланак који тврди критичну грешку у ВЛЦ-у, предлажем вам да прво прочитате горњи коментар и поново размотрите своје (лажне) изворе вести.“ -Францоис Цартегние
„Ово не руши нормално издање ВЛЦ 3.0.7.1“ – Јеан-Баптисте Кемпф
Ажурирање: Ево опширнијег одговора ВидеоЛАН-а. Према речима програмера, у тренутном ВЛЦ софтверу уопште не постоји недостатак.
Дакле, репортер је отворио грешку на нашем праћењу грешака, што је ван политике извештавања, односно, пошаљите нам приватно на псеудониму безбедности.
Наравно, наш бугтрацкер је јаван.
Нисмо могли, наравно, да репродукујемо проблем, и покушали смо да контактирамо истраживача безбедности, насамо.
— ВидеоЛАН (@видеолан) 24. јула 2019. године