Det har sirkulert påstander på nettet om en kritisk sårbarhet i VLC-mediaspilleren, med oppfordringer om å avinstallere programvaren umiddelbart. Disse påstandene, som stammer fra en rapport om en angivelig feil, har imidlertid blitt møtt med skepsis fra VLCs egne utviklere. De mener at faren er overdreven og kanskje ikke engang reell.
Bakgrunnen for dette oppstyret er den publiserte CVE-2019-13615, som ble kategorisert som en «kritisk» sårbarhet, med en risikoscore på 9,8 av 10. Det som har irritert VLCs utviklere, er at de angivelig ikke ble kontaktet før denne informasjonen ble offentliggjort.
VideoLAN, som står bak VLC, har uttrykt sin misnøye på Twitter:
Hei @MITREcorp og @CVEnytt , det faktum at du ALDRI kontakter oss for VLC-sårbarheter i flere år før publisering er virkelig ikke kult; men du kan i det minste sjekke informasjonen din eller sjekke deg selv før du sender 9.8 CVSS-sårbarhet offentlig …
Denne høye risikoscoren har skapt bekymring. En sårbarhet på 9,8 av 10 høres ut som en alvorlig trussel. Det er rapportert at feilen kan muliggjøre ekstern kodekjøring, noe som betyr at angripere potensielt kan ta kontroll over et system via en sårbarhet i VLC.
I henhold til beskrivelsen av CVE, innebærer sårbarheten at man spiller av en skadet MKV-fil. Dette betyr at i teorien, dersom man laster ned en skadelig MKV-fil fra nettet og åpner den i VLC, kan det kompromittere programvaren. Det er imidlertid viktig å merke seg at det ikke er bekreftet at dette faktisk har skjedd i praksis. I tillegg ser det ikke ut til at MacOS-versjonen av VLC er berørt.
Dette betyr at selv om sårbarheten er reell, bør man i hovedsak være forsiktig med MKV-filer. Unngå å laste ned MKV-filer fra utrygge kilder, og vær forsiktig med å spille dem av i VLC før en oppdatering er tilgjengelig. Det er også lurt å være forsiktig med MKV-filer dersom man benytter seg av piratkopiert media.
Men situasjonen er mer komplisert enn som så. VLCs utviklere rapporterer nemlig at de ikke har klart å gjenskape problemet, noe som tyder på at det kan være alvorlige mangler ved den opprinnelige feilrapporten.
Har du i det hele tatt sjekket dette?
Ingen kan gjengi dette problemet her.
Konklusjonen er at det sannsynligvis er fornuftig å være forsiktig med nedlastede MKV-filer inntil VLC har rettet opp den angivelige feilen. Men dette er også det eneste man behøver å gjøre, og selv dette kan anses som et føre-var-tiltak.
I følge VLCs utviklere, som de har skrevet på VideoLAN bug tracker:
«Beklager, men denne feilen er ikke reproduserbar og krasjer ikke VLC i det hele tatt.» – Jean-Baptiste Kempf
«Hvis du havner på denne billetten via en nyhetsartikkel som hevder en kritisk feil i VLC, foreslår jeg at du leser kommentaren ovenfor først og revurderer dine (falske) nyhetskilder.» – Francois Cartegnie
«Dette krasjer ikke en normal utgivelse av VLC 3.0.7.1» – Jean-Baptiste Kempf
Oppdatering: VideoLAN har publisert et mer utfyllende svar. Utviklerne hevder nå at det overhodet ikke dreier seg om en feil i den gjeldende versjonen av VLC.
Så, en reporter, åpnet en feil på bugtrackeren vår, som er utenfor rapporteringspolicyen, aka, send oss en e-post privat på sikkerhetsaliaset.
Selvfølgelig er feilsporingen vår offentlig.
Vi klarte selvfølgelig ikke å gjenskape problemet, og forsøkte å kontakte sikkerhetsforskeren privat.