Panik kring VLC-säkerhetsbrist: Är den befogad?
”Himmelen faller, avinstallera VLC omedelbart!” Så lyder råden från vissa webbplatser. Men den påstådda sårbarheten i VLC är kraftigt överdriven, och enligt VLC:s utvecklare kanske den inte ens är en verklig risk.
Allt detta tumult inleddes med publiceringen av CVE-2019-13615, som utpekades som en ”kritisk” sårbarhet med det höga betyget 9,8 av 10. VLC:s utvecklare är upprörda över att de inte ens kontaktades innan bristen offentliggjordes.
Hej @MITREcorp och @CVEny. Det faktum att ni ALDRIG kontaktar oss om VLC-sårbarheter på flera år innan ni publicerar är verkligen inte schysst. Ni kan åtminstone kontrollera er information eller er själva innan ni släpper en sårbarhet med 9,8 CVSS-betyg publikt…
– VideoLAN (@videolan) 23 juli 2019
Men hur allvarligt är det egentligen? Med ett betyg på 9,8 av 10 låter det som en säkerhetskatastrof. Sårbarheten påstås kunna leda till fjärrkörning av kod, vilket är en allvarlig risk. Potentiellt kan hackare ta kontroll över ditt system genom en bugg i VLC.
Enligt CVE kräver denna sårbarhet att en skadad MKV-fil spelas upp. I teorin kan en nedladdad, skadlig MKV-fil kompromettera VLC om den körs. Dock har ingen påstått att detta har hänt i verkligheten. Dessutom verkar inte macOS-versionen av VLC vara påverkad.
Även om den här sårbarheten är så allvarlig som den verkar, räcker det att vara försiktig med MKV-filer. Undvik att ladda ner opålitliga MKV-filer och spela dem i VLC tills en uppdatering finns tillgänglig. Håll dig borta från MKV-filer om du ägnar dig åt piratkopiering.
Men vänta lite! VLC:s utvecklare hävdar att de inte ens kan återskapa problemet, vilket tyder på att det finns allvarliga brister i den ursprungliga sårbarhetsrapporten.
Har ni ens undersökt detta? Ingen kan återskapa problemet här.
– VideoLAN (@videolan) 23 juli 2019
Sammantaget är det förmodligen klokt att undvika nedladdade MKV-filer tills VLC har åtgärdat situationen. Men det är i princip det enda du behöver göra, och även det kan betraktas som lite paranoidt.
Som VLC:s utvecklare påpekar på VideoLans buggspårare:
- ”Tyvärr, den här buggen är inte reproducerbar och får inte VLC att krascha alls.” – Jean-Baptiste Kempf
- ”Om du kommit hit via en nyhetsartikel som påstår att det finns ett allvarligt fel i VLC, föreslår jag att du först läser kommentaren ovan och omprövar dina (falska) nyhetskällor.” – Francois Cartegnie
- ”Det här kraschar inte en normal version av VLC 3.0.7.1” – Jean-Baptiste Kempf
Uppdatering: Här är VideoLans mer utförliga svar. Enligt utvecklarna finns det inte något fel i den nuvarande VLC-programvaran.
Så, en reporter, öppnade en bugg i vår buggspårare, vilket är utanför rapporteringspolicyn, dvs. mejla oss privat via vår säkerhetsadress. Naturligtvis är vår buggspårare offentlig. Vi kunde självklart inte återskapa problemet och försökte kontakta säkerhetsforskaren privat.
– VideoLAN (@videolan) 24 juli 2019