«Небо падає; видалити VLC прямо зараз!” Саме таку пораду надають деякі веб-сайти. Але передбачувана вада VLC перебільшена — і, за словами розробників VLC, вона може навіть не представляти реального ризику.
Ця суматоха почалася з публікації CVE-2019-13615, яка позначена як «критична» вразливість з оцінкою 9,8 з 10. Розробники VLC незадоволені тим, що навіть не зв’язалися з ними до публікації цього недоліку.
Гей @MITREcorp і @CVEnew , той факт, що ви НІКОЛИ не зверталися до нас щодо вразливостей VLC роками до публікації, насправді не круто; але принаймні ви можете перевірити свою інформацію або перевірити себе, перш ніж публічно надсилати уразливість 9.8 CVSS…
— VideoLAN (@videolan) 23 липня 2019 року
Але це погано, правда? Це 9,8 з 10 — якщо говорити про недоліки безпеки, то це звучить як наступний ядерний удар. Повідомляється, що ця вада може призвести до віддаленого виконання коду, що погано. Зловмисники можуть отримати контроль над вашою системою через помилку у VLC.
Як пояснює CVE, ця вада вимагає відтворення файлу MKV з неправильним форматом. Теоретично, якщо ви завантажите шкідливий файл MKV з Інтернету та запустите його, це може поставити під загрозу VLC — хоча ніхто не стверджує, що це коли-небудь траплялося в реальному світі. Крім того, версія VLC для macOS, схоже, не постраждала.
Тож, навіть якщо ця вада настільки серйозна, як і здається, вам просто потрібно бути обережними з файлами MKV — не завантажуйте ненадійні файли MKV і не відтворюйте їх у VLC, доки не буде випущено виправлення. Тримайтеся подалі від MKV, якщо ви піратські медіа.
Але не так швидко! Розробники VLC кажуть, що не можуть навіть відтворити проблему, припускаючи, що є серйозні проблеми з оригінальним звітом про експлойт.
Ви навіть перевіряли це?
Ніхто не може відтворити цю проблему тут.
— VideoLAN (@videolan) 23 липня 2019 року
Зрештою, ймовірно, було б гарною ідеєю триматися подалі від завантажених файлів MKV, поки VLC не виправить цю помилку. Але це все, що вам справді потрібно зробити, і навіть це параноїк.
Як пояснюють розробники VLC на Відстеження помилок VideoLAN:
«Вибачте, але ця помилка не відтворюється і взагалі не призводить до збою VLC». – Жан-Батист Кемпф
«Якщо ви потрапили на цей квиток через статтю новин, в якій стверджується критична вада у VLC, я пропоную вам спочатку прочитати коментар вище та переглянути свої (фейкові) джерела новин». -Франсуа Картеньі
«Це не дає збій у звичайному випуску VLC 3.0.7.1» – Жан-Батист Кемпф
Оновлення: ось більш довга відповідь VideoLAN. За словами розробників, у поточному програмному забезпеченні VLC взагалі немає недоліків.
Отже, репортер виявив помилку в нашому програмі відстеження помилок, яка не входить до політики звітності, тобто надіслати нам приватну пошту під псевдонімом безпеки.
Звичайно, наш багтрекер є загальнодоступним.
Ми, звісно, не змогли відтворити проблему, і спробували зв’язатися з дослідником безпеки, приватно.
— VideoLAN (@videolan) 24 липня 2019 року