VideoLAN diz que falha de segurança VLC foi resolvida há mais de um ano

VideoLAN diz que falha de segurança VLC foi resolvida há mais de um ano
vlc icone

A VideoLAN foi ao Twitter para esclarecer que o problema de segurança descoberto pelo CERT-Bund não é tão grave como relatado. Segundo a empresa, as falhas já foram completamente resolvidas há 16 meses. Ainda segundo a VideoLAN, o problema estava em uma biblioteca de terceiros, chamada libebml. A afirmação de Mitre foi baseada em uma versão anterior (e desatualizada) do VLC, não a 3.0.3 ou mais recente, que tem a versão corrigida. Assim, a VideoLAN diz que falha de segurança VLC foi resolvida há mais de um ano.

No Twitter, a VideoLAN culpou um repórter por executar o VLC em uma versão antiga do Ubuntu com bibliotecas desatualizadas. Do mesmo modo, reclamou da empresa de segurança MITER ao emitir um CVE antes que pudesse examinar as alegações do repórter.

O VLC desde a versão 3.0.3 tem a versão correta enviada e o MITER nem sequer verificou a sua reivindicação, twitou o VideoLAN.

O erro do erro

A empresa reclama do repórter que alegou ter descoberto o problema. Ele estava executando o Ubuntu 18.04 sem que todas as bibliotecas associadas sejam atualizadas. Portanto, a última versão de longo prazo é 18.04.2 e a versão mais atualizada é a 19.04. Em vez de enviar e-mails para a empresa, o repórter registrou um bug no rastreador de bugs da organização – que é público.

Nós não poderíamos, é claro, reproduzir o problema, e tentamos entrar em contato com o pesquisador de segurança, em particular, acrescentou a empresa.
Ao mesmo tempo, MITER pegou o relatório de bug e emitiu um CVE sem falar primeiro com o VideoLAN.

Isto, alegou, não só viola as políticas do próprio MITRE, como também não é a primeira vez que o fez. 

Isso vem acontecendo há anos: quase todos os CVEs no VLC têm CVSS [ratings de severidade] completamente insanos, acrescentou.

Qualquer estouro de leitura não explorável obtém CVSS de 9,8, como VLC é um servidor e você poderia fazer RCE e comprometer a máquina, enquanto na maioria das vezes, o problema é um acidente, muitas vezes não explorável, de um arquivo local que o usuário TEM de abrir manualmente. E, claro, eles nunca são corrigidos.

A repercussão

No entanto, a questão explodiu quando a Equipe de Resposta a Emergências de Computadores da Alemanha (CERT-Bund) emitiu seu próprio aviso sem, segundo a VideoLAN, sequer tentar reproduzir a falha ou contatá-la.

A @MITREcorp se comportaria da mesma maneira se fôssemos a Microsoft ou outra grande empresa? Mas, não, somos apenas uma pequena organização sem fins lucrativos, que nem sequer tem dinheiro para pagar alguém em tempo integral …

Como resultado das reclamações justificadas do VideoLAN, o rating CVE foi reduzido, com a possibilidade de um rebaixamento adicional.

VideoLAN diz que falha de segurança VLC foi resolvida há mais de um ano e problema tem gravidade rebaixada

No National Vulnerability Database, o problema VLC foi rebaixado de 9,8 para 5,5.entrada relacionada no rastreador de bugs público do VideoLAN também lista o problema como resolvido.

Do mesmo modo, afirma que está aguardando uma reanálise que pode resultar em mais mudanças nas informações fornecidas.

Em outras palavras, não entre em pânico e nem desinstale o VLC. Porém, você deve definitivamente certificar-se de que está atualizado corretamente. A versão atual do VLC é  a 3.0.7.1. 

Via

Acesse a versão completa
Sair da versão mobile