A VideoLAN foi ao Twitter para esclarecer que o problema de segurança descoberto pelo CERT-Bund não é tão grave como relatado. Segundo a empresa, as falhas já foram completamente resolvidas há 16 meses. Ainda segundo a VideoLAN, o problema estava em uma biblioteca de terceiros, chamada libebml. A afirmação de Mitre foi baseada em uma versão anterior (e desatualizada) do VLC, não a 3.0.3 ou mais recente, que tem a versão corrigida. Assim, a VideoLAN diz que falha de segurança VLC foi resolvida há mais de um ano.
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
No Twitter, a VideoLAN culpou um repórter por executar o VLC em uma versão antiga do Ubuntu com bibliotecas desatualizadas. Do mesmo modo, reclamou da empresa de segurança MITER ao emitir um CVE antes que pudesse examinar as alegações do repórter.
O VLC desde a versão 3.0.3 tem a versão correta enviada e o MITER nem sequer verificou a sua reivindicação, twitou o VideoLAN.
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
O erro do erro
A empresa reclama do repórter que alegou ter descoberto o problema. Ele estava executando o Ubuntu 18.04 sem que todas as bibliotecas associadas sejam atualizadas. Portanto, a última versão de longo prazo é 18.04.2 e a versão mais atualizada é a 19.04. Em vez de enviar e-mails para a empresa, o repórter registrou um bug no rastreador de bugs da organização – que é público.
Nós não poderíamos, é claro, reproduzir o problema, e tentamos entrar em contato com o pesquisador de segurança, em particular, acrescentou a empresa.
Isto, alegou, não só viola as políticas do próprio MITRE, como também não é a primeira vez que o fez.
Isso vem acontecendo há anos: quase todos os CVEs no VLC têm CVSS [ratings de severidade] completamente insanos, acrescentou.
Qualquer estouro de leitura não explorável obtém CVSS de 9,8, como VLC é um servidor e você poderia fazer RCE e comprometer a máquina, enquanto na maioria das vezes, o problema é um acidente, muitas vezes não explorável, de um arquivo local que o usuário TEM de abrir manualmente. E, claro, eles nunca são corrigidos.
A repercussão
No entanto, a questão explodiu quando a Equipe de Resposta a Emergências de Computadores da Alemanha (CERT-Bund) emitiu seu próprio aviso sem, segundo a VideoLAN, sequer tentar reproduzir a falha ou contatá-la.
A @MITREcorp se comportaria da mesma maneira se fôssemos a Microsoft ou outra grande empresa? Mas, não, somos apenas uma pequena organização sem fins lucrativos, que nem sequer tem dinheiro para pagar alguém em tempo integral …
Como resultado das reclamações justificadas do VideoLAN, o rating CVE foi reduzido, com a possibilidade de um rebaixamento adicional.
VideoLAN diz que falha de segurança VLC foi resolvida há mais de um ano e problema tem gravidade rebaixada
No National Vulnerability Database, o problema VLC foi rebaixado de 9,8 para 5,5. A entrada relacionada no rastreador de bugs público do VideoLAN também lista o problema como resolvido.
Do mesmo modo, afirma que está aguardando uma reanálise que pode resultar em mais mudanças nas informações fornecidas.
Em outras palavras, não entre em pânico e nem desinstale o VLC. Porém, você deve definitivamente certificar-se de que está atualizado corretamente. A versão atual do VLC é a 3.0.7.1.
