“Himlen falder; afinstaller VLC lige nu!” Det er det råd, som nogle websteder giver. Men den påståede VLC-fejl er overdrevet – og ifølge VLC’s udviklere er den måske ikke engang en reel risiko.
Denne tumult startede med udgivelsen af CVE-2019-13615, som er markeret som en “kritisk” sårbarhed med en score på 9,8 ud af 10. VLC’s udviklere er ikke glade for, at de ikke engang blev kontaktet før offentliggørelsen af denne fejl.
Hej @MITREcorp og @CVEnyt , det faktum, at du ALDRIG nogensinde kontakter os for VLC-sårbarheder i årevis, før du udgiver, er virkelig ikke fedt; men du kan i det mindste tjekke dine oplysninger eller tjekke dig selv, før du sender 9.8 CVSS-sårbarhed offentligt…
— VideoLAN (@videolan) 23. juli 2019
Men det er dårligt, ikke? Det er 9,8 ud af 10 – når sikkerhedsbrister går, lyder det som et indkommende atomangreb. Denne fejl kunne angiveligt resultere i fjernudførelse af kode, hvilket er dårligt. Angribere kan få kontrol over dit system gennem en fejl i VLC.
Som CVE forklarer, kræver denne fejl afspilning af en misformet MKV-fil. I teorien, hvis du downloader en ondsindet MKV-fil fra nettet og kører den, kan det kompromittere VLC – selvom ingen hævder, at dette nogensinde er sket i den virkelige verden. Desuden ser macOS-versionen af VLC ikke ud til at være påvirket.
Så selvom denne fejl er så slem, som den ser ud til, skal du bare være forsigtig med MKV-filer – download ikke upålidelige MKV-filer og afspil dem i VLC, indtil en patch er frigivet. Hold dig væk fra MKV, hvis du piratkopierer medier.
Men ikke så hurtigt! VLC’s udviklere siger, at de ikke engang kan reproducere problemet, hvilket tyder på, at der er alvorlige problemer med den originale udnyttelsesrapport.
Har du overhovedet tjekket dette?
Ingen kan gengive dette problem her.
— VideoLAN (@videolan) 23. juli 2019
I slutningen af dagen er det nok en god idé at holde sig væk fra downloadede MKV-filer, indtil VLC retter denne fejl. Men det er alt, du virkelig behøver at gøre, og selv det er at være lidt paranoid.
Som VLC’s udviklere forklarer om VideoLAN bug tracker:
“Beklager, men denne fejl er ikke reproducerbar og styrter slet ikke VLC.” -Jean-Baptiste Kempf
“Hvis du lander på denne billet gennem en nyhedsartikel, der hævder en kritisk fejl i VLC, foreslår jeg, at du læser ovenstående kommentar først og genovervejer dine (falske) nyhedskilder.” -Francois Cartegnie
“Dette går ikke ned i en normal udgivelse af VLC 3.0.7.1” -Jean-Baptiste Kempf
Opdatering: Her er VideoLANs mere lange svar. Ifølge udviklerne er der slet ikke en fejl i den nuværende VLC-software.
Så en reporter åbnede en fejl på vores bugtracker, som er uden for rapporteringspolitikken, også kaldet, send os en e-mail privat på sikkerhedsaliaset.
Selvfølgelig er vores bugtracker offentlig.
Vi kunne naturligvis ikke gengive problemet, og forsøgte at kontakte sikkerhedsforskeren privat.
— VideoLAN (@videolan) 24. juli 2019