Confusión sobre una vulnerabilidad recientemente revelada en VLC Media Player
- Categoría: Seguridad
Comenzaron a surgir informes en Internet sobre una vulnerabilidad de seguridad crítica en el popular reproductor multimedia VLC Media Player.
Actualizar: VideoLAN confirmado que el problema no era un problema de seguridad en VLC Media Player. Los ingenieros detectaron que el problema se debía a una versión anterior de la biblioteca de terceros llamada libebml que se incluía en versiones anteriores de Ubuntu. El investigador usó aparentemente esa versión anterior de Ubuntu. Final
Sam Rutherford de Gizmodo sugirió que los usuarios desinstalan VLC inmediatamente y el tenor de otras revistas y sitios de tecnología era idéntico en su mayor parte. Los titulares e historias sensacionalistas generan muchas visitas a la página y clics, y esa es probablemente la razón principal por la que a los sitios les gusta utilizarlos en lugar de centrarse en titulares y artículos que no son tan sensacionalistas.
El informe de error, archivado en CVE-2019-13615, califica el problema como crítico y afirma que afecta a VLC Media Player 3.0.7.1 y versiones anteriores del reproductor multimedia.
Todas las versiones de escritorio de VLC Media Player, disponibles para Windows, Linux y Mac OS X, se ven afectadas por el problema según la descripción. Un atacante podría ejecutar código de forma remota en los dispositivos afectados si la vulnerabilidad se explota con éxito según el informe de error.
La descripción del problema es técnica, pero proporciona información valiosa sobre la vulnerabilidad:
VideoLAN VLC media player 3.0.7.1 tiene un búfer basado en montón sobreleído en mkv :: demux_sys_t :: FreeUnused () en modules / demux / mkv / demux.cpp cuando se llama desde mkv :: Open en modules / demux / mkv / mkv.cpp.
La vulnerabilidad solo se puede aprovechar si los usuarios abren archivos preparados específicamente con VLC Media Player. Un archivo multimedia de muestra que usa el formato mp4 se adjunta a la lista de pistas de errores que aparece para confirmar esto.
Los ingenieros de VLC tienen anuncios dificultades reproduciendo el problema que se presentó en el sitio oficial de seguimiento de errores hace cuatro semanas.
El líder del proyecto, Jean-Baptiste Kempf, publicó ayer que no pudo reproducir el error ya que no bloqueó VLC en absoluto. Otros, p. Ej. Rafael Rivera, tampoco pudo reproducir el problema en varias compilaciones de VLC Media Player.
VideoLAN fuimos a Twitter para avergonzar a las organizaciones informantes MITRE y CVE.
Hola @MITREcorp y @CVEnew, el hecho de que NUNCA nos contactes por vulnerabilidades de VLC durante años antes de la publicación no es genial; pero al menos podría comprobar su información o comprobarse usted mismo antes de enviar públicamente la vulnerabilidad CVSS 9.8 ...
Oh, por cierto, esta no es una vulnerabilidad de VLC ...
Las organizaciones no informaron a VideoLAN sobre la vulnerabilidad con anticipación según la publicación de VideoLAN en Twitter.
Lo que pueden hacer los usuarios de VLC Media Player
Los problemas que tienen los ingenieros e investigadores para replicar el problema lo convierten en un asunto bastante desconcertante para los usuarios del reproductor multimedia. ¿Es seguro usar VLC Media Player mientras tanto porque el problema no es tan grave como se sugirió inicialmente o no es una vulnerabilidad en absoluto?
Puede pasar un tiempo antes de que las cosas se solucionen. Mientras tanto, los usuarios pueden usar un reproductor multimedia diferente o confiar en la evaluación de VideoLAN del problema. Siempre es una buena idea tener cuidado cuando se trata de la ejecución de archivos en los sistemas, especialmente cuando provienen de Internet y de fuentes en las que no se puede confiar al 100%.
Ahora tu: ¿Cuál es su opinión sobre todo el tema? (vía Deskmodder)