”Himlen faller; avinstallera VLC just nu!” Det är råden som vissa webbplatser ger. Men det påstådda VLC-felet är överdrivet – och enligt VLC:s utvecklare är det kanske inte ens en verklig risk.
Allt detta uppståndelse började med publiceringen av CVE-2019-13615som markeras som en ”kritisk” sårbarhet med ett betyg på 9,8 av 10. VLC:s utvecklare är inte glada över att de inte ens kontaktades innan publiceringen av denna brist.
Hallå @MITREcorp och @CVEny , det faktum att du ALDRIG någonsin kontaktar oss för VLC-sårbarheter i flera år innan du publicerar är verkligen inte coolt; men du kan åtminstone kontrollera din information eller kontrollera dig själv innan du skickar 9.8 CVSS-sårbarhet offentligt …
— VideoLAN (@videolan) 23 juli 2019
Men det är dåligt, eller hur? Det är 9,8 av 10 – när säkerhetsbristerna går, låter det som en inkommande kärnvapenattack. Denna brist kan enligt uppgift resultera i fjärrkörning av kod, vilket är dåligt. Angripare kan få kontroll över ditt system genom en bugg i VLC.
Som CVE förklarar kräver denna brist att en felaktig MKV-fil spelas upp. I teorin, om du laddar ner en skadlig MKV-fil från webben och kör den, kan det äventyra VLC – även om ingen påstår att detta någonsin har hänt i den verkliga världen. MacOS-versionen av VLC verkar inte heller påverkas.
Så även om det här felet är så illa som det verkar, måste du bara vara försiktig med MKV-filer – ladda inte ner opålitliga MKV-filer och spela dem i VLC tills en patch släpps. Håll dig borta från MKV om du piratkopierar media.
Men inte så snabbt! VLC:s utvecklare säger att de inte ens kan återskapa problemet, vilket tyder på att det finns allvarliga problem med den ursprungliga exploateringsrapporten.
Kollade du ens detta?
Ingen kan återskapa detta problem här.
— VideoLAN (@videolan) 23 juli 2019
I slutet av dagen är det förmodligen en bra idé att hålla sig borta från nedladdade MKV-filer tills VLC korrigerar detta fel. Men det är allt du verkligen behöver göra, och även det är att vara lite paranoid.
Som VLC:s utvecklare förklarar på VideoLAN buggspårare:
”Tyvärr, men denna bugg är inte reproducerbar och kraschar inte VLC alls.” -Jean-Baptiste Kempf
”Om du landar på den här biljetten genom en nyhetsartikel som hävdar ett kritiskt fel i VLC, föreslår jag att du läser ovanstående kommentar först och omprövar dina (falska) nyhetskällor.” -Francois Cartegnie
”Det här kraschar inte en normal version av VLC 3.0.7.1” -Jean-Baptiste Kempf
Uppdatering: Här är VideoLANs mer långa svar. Enligt utvecklarna finns det inget fel i den nuvarande VLC-mjukvaran alls.
Så, en reporter, öppnade en bugg på vår bugtracker, som ligger utanför rapporteringspolicyn, aka, maila oss privat på säkerhetsaliaset.
Naturligtvis är vår bugtracker offentlig.
Vi kunde naturligtvis inte återskapa problemet och försökte kontakta säkerhetsforskaren privat.
— VideoLAN (@videolan) 24 juli 2019