UPDATE: VLC nu este vulnerabil. Vulnerabilitatea raportată a fost reparată în urmă cu 18 luni

UPDATE 25.07.2019: Reprezentanţii VideoLAN au declarat public că această problemă nu se regăseşte în cea mai recentă versiune de VLC disponibilă pentru download. Aceştia recunosc că au găsit problema în urmă cu 18 luni şi au rezolvat-o la momentul respectiv. Cei care au descoperit-o recent probabil folosesc o versiune mai veche de Ubuntu Linux, în care vechiul VLC este integrat şi încă include această vulnerabilitate. Anunţul a fost făcut pe contul oficial de Twitter al organizaţiei:

„Cineva a listat un bug pe site-ul nostru de monitorizare a problemelor, care este în afara politicilor noastre de raportare, adică nu ne-a contactat în privat prin e-mail. Desigur, site-ul de monitorizare este public. Desigur, nu am putut reproduce problema şi am încercat să îl contactăm pe cel care a făcut acest raport în privat. Persoana în cauză foloseşte Ubuntu 18.04, care este o versiune veche de Ubuntu, şi este destul de clar că nu are toate fişierele la zi, dar nu ne-a răspuns la întrebări.

Dintr-un motiv sau altul, fără ca noi să ştim, MITRECorp a decis să anunţe problema fără să vorbească cu noi, o încălcare directă a politicilor lor. Aceasta nu este prima dată când MITRE face asta. De fapt, ei nu ne-au contactat niciodată când au găsit probleme de securitate în VLC şi le-am descoperit întotdeauna după ce informaţiile au ajuns în spaţiul public, când un untilizator sau o distribuţie de Linux ne-a întrebat despre respectiva problemă. Când ne-am plâns şi am întrebat dacă putem susţine propriul CVE pentru monitorizarea problemelor, nu am primit niciun răspuns, iar NVD ne-a spus că nu ne pot ajuta. Nici măcar nu putem corecta informaţia greşită. 

Această situaţie este aşa de mulţi ani: aproape toate listele CVE despre VLC au greşeli imense, care aduc în prim-plan articole precum cele recente. Orice problemă cu nota 9,8, precum cea raportată ar trebui să ofere acces pentru executarea de cod pe computerul copromis, iar problema apare în general sub formă de crash, de multe ori imposibil de exploatat de pe fişierul local pe care utilizatorul trebuie să îl deschidă manual. Desigur, aceste afirmaţii nu sunt niciodată corectate. CERT-Bund a realizat un raport fără să verifice crash-ul (nu e aşa greu), sau vulnerabilitatea, fără să ne contacteze.

Când CERT-Bund a decis să facă „dezvăluirea”, toată presa a transmis informaţia fără să verifice sau să ne contacteze, iar Gizmodo a decis să folosească un titlu clickbait. Desigur, Gizmodo nu ne-a contactat pentru a verifica informaţia. Desigur nimeni nu va corecta articolele, sau o vor face într-o manieră ascunsă.

Am contactat NVD şi MITRE Corp în urmă cu mai mult de 12 ore şi încă aşteptăm un răspuns. S-ar comporta MITRE la fel cu Microsoft sau altă companie mare? Probabil nu, dar noi suntem doar o mică organizaţie non-profit, care nici măcar nu îşi permite să plătească angajaţii pentru slujbe fulltime.”

So, a reporter, opened a bug on our bugtracker, which is outside of the reporting policy, aka, mail us in private on the security alias.
Of course, our bugtracker is public.

We could not, of course reproduce the issue, and tried to contact the security researcher, in private.

— VideoLAN (@videolan) July 24, 2019

Articolul original:

Agenţia de securitate germană CERT-Bund a descoperit o vulnerabilitate critică în player-ul video VLC. Autoritatea a marcat această problemă drept „critică”, cu un scor de vulnerabilitate 9,8, ceea ce înseamnă că posibili atacatori care ar putea beneficia de pe urma ei pentru a executa instrucţiuni fără acordul utilizatorului pe computerul lui. Având în vedere că problema a fost depistată în versiunile de Windows, Linux şi Unix, numărul de utilizatori vulnerabili este foarte mare.

VLC este un proiect open source şi totodată cel mai popular player video de acest gen din lume. Astfel, rezolvarea problemei pe care CERT-Bund a numit-o „CVE-2019-13615” este foarte urgentă, întrucât acum că aceasta a fost recunoscută public inclusiv de către VideoLAN Project, entitatea care dezvoltă player-ul, cu siguranţă vor începe să apară şi clipuri video care să încerce să „infecteze” anumite sisteme.

Practic, este de ajuns ca un fişier video să fie modificat într-un anume fel, pentru a deveni extrem de periculos, acesta putând conţine cod care ar putea rula fără ca utilizatorul să ştie. Astfel, pot fi furate date, computerul poate fi controlat de la distanţă sau sistemul poate fi infectat cu viruşi. Având în vedere cât de răspândit este VLC, toţi utilizatorii sunt în pericol, în special dacă descarcă fişiere video de pe e-mail sau de pe diverse site-uri mai mult sau mai puţin legale.

Se pare că momentan nimeni nu a folosit această vulnerabilitate pentru un atac, sau cel puţin nu a fost depistată nicio astfel de instanţă. Totuşi, VideoLAN Project a anunţat că lucrează deja la o actualizare pentru player-ul video şi că aceasta este deja gata în proporţie de 60%.

Cea mai bună metodă de protecţie în acest moment este dezinstalarea VLC de pe computerele care rulează Windows, Linux sau Unix (macOS nu este afectat) şi utilizarea unei alternative până când apare patch-ul de la VideoLAN. Alternativ, încercaţi să nu redaţi clipuri video din surse necunoscute.