Blog IT, Blog Marketing

Krytyczna luka w VLC to kaczka dziennikarska – odtwarzacz jest bezpieczny

Krytyczna luka w VLC to kaczka dziennikarska – odtwarzacz jest bezpieczny

Maciej Olanicki , 24.07.2019 r.

Sezon ogórkowy w pełni, branżowych newsów pojawia się stosunkowo niewiele, zaś każdy, najsłabszy nawet, trop jest okazją do przygotowania publikacji o sensacyjnym tytule. Tak właśnie było z artykułami na temat rzekomej krytycznej podatności w popularnym odtwarzaczu VLC, o których masowo donosiły również polskie media. Dziś wiemy już, że o żadnej podatności w VLC nie może być mowy.

vlc-kaczka Źródło: Google News.

Jak widać na zrzucie powyżej, temat podatności w VLC pozwalającej na zdalne wykonanie kodu podchwyciły czołowe polskie serwisy branżowe. Redaktorzy żadnego z nich nie zadali sobie jednak trudu, by spróbować odtworzyć scenariusz ataku, mimo że odpowiednio spreparowany plik, który rzekomo miał na to pozwolić, był ogólnodostępny. Zadania tego musieli podjąć się twórcy VLC, ale napotkali oni nie lada problemy.

Z jakichś powodów podatność zgłoszona przez niemieckie MITRE nie była możliwa do odtworzenia przez zespół rozwijający odtwarzacz. Po kilku dniach udało się w końcu okiełznać problem, ale w warunkach, które dla zgłaszających podatność są zwyczajnie kompromitujące. Twórcy VLC opublikowali na koncie programu na Twitterze obszerne wyjaśnienia, które rzucają na sprawę nowe światło. Przytaczamy jego fragment:

Zgłaszający opublikował błąd na bugtrackerze, co nie jest zgodne z polityką zgłaszania, czytaj: przesłania nam maila. Bugtracker oczywiście jest publiczny. Nie mogliśmy odtworzyć problemu i próbowaliśmy się skontaktować z badaczem prywatnie. Zgłaszający używa Ubuntu 18.04, która jest starszą wersją Ubuntu i najwyraźniej posiada niezaktualizowane biblioteki. Nikt nie odpowiedział na nasze pytania. Z jakichś powodów MITRE zdecydowało się wydać sygnaturę CVE bez wcześniejszego kontaktu z nami. Jest to bezpośrednio sprzeczne z ich własną polityką.

Podatność pozwalająca na zdalne wykonanie kodu tkwiła nie w VLC, lecz w bibliotece libebml. Co więcej, sama biblioteka została załatana 16 miesięcy temu. Jedyny scenariusz, który umożliwiał wykorzystanie podatności zgłoszonej przez MITRE, mógł zostać zrealizowany wyłącznie na systemach operacyjnych z niezaktualizowaną wersją biblioteki. Nie oznacza jednak, że jej podatność nie stanowi zagrożenia.

Problem w tym, że starsze wersje libebml dostępne są wciąż w leciwych (lecz wciąż wspieranych) wersjach niektórych dystrybucji Linuksa, między innymi Ubuntu 18.04, które jest wydaniem o wydłużonym okresie wsparcia. To właśnie z tej wersji systemu korzystano w MITRE. Niezaktualizowane libebml wykorzystuje także między innymi Debian 9, a zatem system, który także wciąż jest wspierany.

Twórcy VLC nie kryjąc rozgoryczenia, zwracają uwagę, że od początku nie mogą skontaktować się zarówno z przedstawicielami MITRE, jak i niemieckim CERT-em. Tymczasem w Sieci (także polskojęzycznej) namnożyły się już liczne artykuły zalecające wręcz odinstalowanie VLC. Nieważne, że odtwarzacz jest bezpieczny, luka tkwi w jednej z bibliotek, a tak w ogóle, to została załatana 16 miesięcy temu.

Najnowsze oferty pracy:

Polecane wpisy na blogu IT:

Szukasz pracownika IT?

Dostarczymy Ci najlepszych specjalistów z branży IT. Wyślij zapytanie

Wyrażam zgodę TeamQuest Sp. z o.o. na przetwarzanie moich danych osobowych w celu marketingu produktów i usług własnych TeamQuest, w tym na kontaktowanie się ze mną w formie połączenia telefonicznego lub środkami elektronicznymi.
Administratorem podanych przez Ciebie danych osobowych jest TeamQuest Sp. z o.o., z siedzibą w Warszawie (00-814), ul. Miedziana 3a/21, zwana dalej „Administratorem".
Jeśli masz jakiekolwiek pytania odnośnie przetwarzania przez nas Twoich danych, skontaktuj się z naszym Inspektorem Ochrony Danych (IOD). Do Twojej dyspozycji jest pod adresem e-mail: office@teamquest.pl.
W jakim celu i na jakiej podstawie będziemy wykorzystywać Twoje dane? Dowiedz się więcej