Sezon ogórkowy w pełni, branżowych newsów pojawia się stosunkowo niewiele, zaś każdy, najsłabszy nawet, trop jest okazją do przygotowania publikacji o sensacyjnym tytule. Tak właśnie było z artykułami na temat rzekomej krytycznej podatności w popularnym odtwarzaczu VLC, o których masowo donosiły również polskie media. Dziś wiemy już, że o żadnej podatności w VLC nie może być mowy.

Źródło: Google News.

Jak widać na zrzucie powyżej, temat podatności w VLC pozwalającej na zdalne wykonanie kodu podchwyciły czołowe polskie serwisy branżowe. Redaktorzy żadnego z nich nie zadali sobie jednak trudu, by spróbować odtworzyć scenariusz ataku, mimo że odpowiednio spreparowany plik, który rzekomo miał na to pozwolić, był ogólnodostępny. Zadania tego musieli podjąć się twórcy VLC, ale napotkali oni nie lada problemy.

Z jakichś powodów podatność zgłoszona przez niemieckie MITRE nie była możliwa do odtworzenia przez zespół rozwijający odtwarzacz. Po kilku dniach udało się w końcu okiełznać problem, ale w warunkach, które dla zgłaszających podatność są zwyczajnie kompromitujące. Twórcy VLC opublikowali na koncie programu na Twitterze obszerne wyjaśnienia, które rzucają na sprawę nowe światło. Przytaczamy jego fragment:

Zgłaszający opublikował błąd na bugtrackerze, co nie jest zgodne z polityką zgłaszania, czytaj: przesłania nam maila. Bugtracker oczywiście jest publiczny. Nie mogliśmy odtworzyć problemu i próbowaliśmy się skontaktować z badaczem prywatnie. Zgłaszający używa Ubuntu 18.04, która jest starszą wersją Ubuntu i najwyraźniej posiada niezaktualizowane biblioteki. Nikt nie odpowiedział na nasze pytania. Z jakichś powodów MITRE zdecydowało się wydać sygnaturę CVE bez wcześniejszego kontaktu z nami. Jest to bezpośrednio sprzeczne z ich własną polityką.

Podatność pozwalająca na zdalne wykonanie kodu tkwiła nie w VLC, lecz w bibliotece libebml. Co więcej, sama biblioteka została załatana 16 miesięcy temu. Jedyny scenariusz, który umożliwiał wykorzystanie podatności zgłoszonej przez MITRE, mógł zostać zrealizowany wyłącznie na systemach operacyjnych z niezaktualizowaną wersją biblioteki. Nie oznacza jednak, że jej podatność nie stanowi zagrożenia.

Problem w tym, że starsze wersje libebml dostępne są wciąż w leciwych (lecz wciąż wspieranych) wersjach niektórych dystrybucji Linuksa, między innymi Ubuntu 18.04, które jest wydaniem o wydłużonym okresie wsparcia. To właśnie z tej wersji systemu korzystano w MITRE. Niezaktualizowane libebml wykorzystuje także między innymi Debian 9, a zatem system, który także wciąż jest wspierany.

Twórcy VLC nie kryjąc rozgoryczenia, zwracają uwagę, że od początku nie mogą skontaktować się zarówno z przedstawicielami MITRE, jak i niemieckim CERT-em. Tymczasem w Sieci (także polskojęzycznej) namnożyły się już liczne artykuły zalecające wręcz odinstalowanie VLC. Nieważne, że odtwarzacz jest bezpieczny, luka tkwi w jednej z bibliotek, a tak w ogóle, to została załatana 16 miesięcy temu.