«Himmelen faller; avinstaller VLC akkurat nå!» Det er rådene enkelte nettsteder gir. Men den påståtte VLC-feilen er overdreven – og ifølge VLCs utviklere er det kanskje ikke engang en reell risiko.
Dette oppstyret startet med utgivelsen av CVE-2019-13615som er merket som en «kritisk» sårbarhet med en score på 9,8 av 10. VLCs utviklere er ikke glade for at de ikke en gang ble kontaktet før publiseringen av denne feilen.
Hei @MITREcorp og @CVEnytt , det faktum at du ALDRI kontakter oss for VLC-sårbarheter i flere år før publisering er virkelig ikke kult; men du kan i det minste sjekke informasjonen din eller sjekke deg selv før du sender 9.8 CVSS-sårbarhet offentlig …
— VideoLAN (@videolan) 23. juli 2019
Men det er ille, ikke sant? Det er 9,8 av 10 – ettersom sikkerhetsfeilene går, høres det ut som et innkommende atomangrep. Denne feilen kan angivelig resultere i ekstern kjøring av kode, noe som er dårlig. Angripere kan få kontroll over systemet ditt gjennom en feil i VLC.
Som CVE forklarer, krever denne feilen å spille av en misformet MKV-fil. I teorien, hvis du laster ned en ondsinnet MKV-fil fra nettet og kjører den, kan det kompromittere VLC – selv om ingen hevder at dette noen gang har skjedd i den virkelige verden. MacOS-versjonen av VLC ser heller ikke ut til å være påvirket.
Så selv om denne feilen er så ille som den ser ut, må du bare være forsiktig med MKV-filer – ikke last ned upålitelige MKV-filer og spill dem i VLC før en oppdatering er utgitt. Hold deg unna MKV hvis du piratkopierer media.
Men ikke så fort! VLCs utviklere sier at de ikke engang kan reprodusere problemet, noe som tyder på at det er alvorlige problemer med den originale utnyttelsesrapporten.
Har du i det hele tatt sjekket dette?
Ingen kan gjengi dette problemet her.
— VideoLAN (@videolan) 23. juli 2019
På slutten av dagen er det sannsynligvis en god idé å holde seg unna nedlastede MKV-filer til VLC retter denne feilen. Men det er alt du egentlig trenger å gjøre, og selv det er å være litt paranoid.
Som VLCs utviklere forklarer på VideoLAN bug tracker:
«Beklager, men denne feilen er ikke reproduserbar og krasjer ikke VLC i det hele tatt.» -Jean-Baptiste Kempf
«Hvis du lander på denne billetten gjennom en nyhetsartikkel som hevder en kritisk feil i VLC, foreslår jeg at du leser kommentaren ovenfor først og revurderer dine (falske) nyhetskilder.» -Francois Cartegnie
«Dette krasjer ikke en normal utgivelse av VLC 3.0.7.1» -Jean-Baptiste Kempf
Oppdatering: Her er VideoLANs mer lange svar. Ifølge utviklerne er det ikke en feil i den nåværende VLC-programvaren i det hele tatt.
Så, en reporter, åpnet en feil på bugtrackeren vår, som er utenfor rapporteringspolicyen, aka, send oss en e-post privat på sikkerhetsaliaset.
Selvfølgelig er feilsporingen vår offentlig.
Vi klarte selvfølgelig ikke å gjenskape problemet, og forsøkte å kontakte sikkerhetsforskeren privat.
— VideoLAN (@videolan) 24. juli 2019