Паніка навколо вразливості VLC: чи справді є підстави для занепокоєння?
В інтернеті почали ширитися заклики на кшталт: “Небо падає, негайно видаліть VLC!”. Причиною стала інформація про нібито виявлену критичну вразливість у популярному медіаплеєрі. Але, як виявляється, загроза може бути значно перебільшеною, а розробники VLC взагалі ставлять під сумнів її існування.
Причиною паніки стала публікація CVE-2019-13615, в якій йдеться про “критичну” вразливість з оцінкою 9.8 з 10. Ця новина викликала обурення у розробників VLC, адже з ними ніхто не зв’язався до публікації, щоб перевірити інформацію.
Hey @MITREcorp and
@CVEnew, the fact you
NEVER contacted us regarding VLC vulnerabilities for years before
publishing is really not cool; but at least, you could check your
information or self-check before sending a 9.8 CVSS vulnerability
publicly…— VideoLAN (@videolan)
July 23, 2019
Отже, що ж це за страшна вразливість? Оцінка 9.8 з 10 дійсно звучить тривожно, нагадуючи про неминучу катастрофу. Згідно з повідомленнями, цей недолік може дозволити віддалене виконання коду, що є серйозною загрозою. Зловмисники потенційно могли б отримати контроль над вашою системою через вразливість VLC.
Як зазначено у звіті CVE, ця вразливість експлуатується через відтворення файлу MKV з некоректним форматуванням. Теоретично, якщо ви завантажите шкідливий MKV-файл з інтернету і запустите його, VLC може бути скомпрометований. Однак, немає підтверджених випадків таких атак в реальному світі. Крім того, версія VLC для macOS, схоже, не схильна до цієї вразливості.
Навіть якщо припустити серйозність цієї проблеми, достатньо бути обережним з файлами MKV. Не завантажуйте їх з ненадійних джерел і не відтворюйте у VLC до виходу офіційного виправлення. Особливо варто уникати MKV, якщо ви займаєтесь нелегальним завантаженням контенту.
Але не все так однозначно. Розробники VLC стверджують, що їм не вдалося відтворити проблему, що ставить під сумнів достовірність оригінального повідомлення.
Did you even test this?
Nobody can reproduce this issue here.— VideoLAN (@videolan)
July 23, 2019
Звісно, в будь-якому випадку варто бути обережним із завантаженими файлами MKV. Проте, це, мабуть, єдине, що вам потрібно зробити, а навіть це може бути зайвим.
Згідно з коментарями розробників VLC у системі відстеження помилок VideoLAN:
“Вибачте, але ця помилка не відтворюється і не призводить до збою VLC взагалі” – Жан-Батист Кемпф.
“Якщо ви потрапили на цю сторінку через статтю новин про критичну вразливість у VLC, будь ласка, спочатку прочитайте коментар вище і перевірте свої (фейкові) джерела новин” – Франсуа Картеньі.
“Це не викликає збою у звичайній версії VLC 3.0.7.1” – Жан-Батист Кемпф.
Оновлення: VideoLAN надали більш детальну відповідь. Розробники стверджують, що поточна версія VLC не має виявленої вразливості.
So a reporter found a bug in our bug tracker, which is out of the
reporting policy, i.e. send us a private mail under security@ alias.
Of
course, our bugtracker is publicly available.We were, of course, unable to reproduce the issue, and tried to contact the security researcher, privately.
— VideoLAN (@videolan)
July 24, 2019