Frissítés: egyre több forrás, köztük maga a VLC-t készítő VideoLAN is cáfolja, hogy a baj akkora lenne, mint amekkorát a média világszerte megírt - részletek a cikk alatt.
A VideoLAN ingyenes szoftvere nem csak azért az egyik legelterjedtebb a kategóriájában, mert teljesen ingyenes és még idegesítő reklámok sem ugrálnak elénk ennek ellentételezésére. A VLC egyik vonzereje az, hogy nagyon sokféle médiafájllal megbirkózik úgy, hogy ezek lejátszásához nem használ különféle külső kodekeket. Most viszont biztonsági szakértők arra hívták fel a figyelmet, hogy olyan biztonsági rést találtak a programban, ami ellen egyelőre csak úgy védekezhetünk, ha teljesen letöröljük a gépünkről.
A német CERT-Bund szakemberei tették közzé a VLC hibáját, amelyet CVE-2019-13615 sorszámmal lajstromoztak. Elvileg mostanáig még nem tudni olyan esetről, amikor a hibát bárki kihasználta volna, de egy célzott javítás megjelenéséig erre bármikor sor kerülhet. A szakértők szerint a sebezhetőség kihasználásával bárki távolról beleláthat a gépünk tartalmába, megtekintheti az ott tárolt fájlokat, valamint a felhasználók engedélye nélkül szoftvereket telepíthet és futtathat. Tehát gyakorlatilag szabadon garázdálkodhat a PC-n.
A biztonsági rést a CERT-Bund egy tizes listán 9,8-ra értékelte, ami egyértelműen kritikus besorolást jelent. A vizsgálatok szerint a Windows mellett a Linux és Unix alatt futtatható VLC kiadások is veszélyben vannak, egyedül a macOS verziók felhasználóinak nem kell tartaniuk a hiba hatásaitól. A VideoLAN már jelezte, hogy dolgozik a rés befoltozásán, de a folyamat még csak 60 százalék környékén tart.
Ez tehát azt jelenti, hogy aki nem szeretne rizikót vállalni, a javítás érkezéséig inkább nyomjon egy uninstallt a VLC-re, és ideiglenesen váltson valamilyen hasonlóan népszerű és ingyenes alternatívára, mint amilyen a KMPlayer vagy a Media Player Classic.
Frissítés: mégsem akkora a baj?
A fenti hírek gyorsan végigszáguldottak a tech- és általános médián világszerte, de úgy tűnik, valamelyik hírforrás nagyobbra turbózta a hibát, mint amekkora valójában. Egyrészt kiderült, hogy a VideoLAN felé elküldött hibajelentés már négy hetes igaz, ez még önmagában nem jelent semmit, ettől még simán lehetne súlyos a probléma. Viszont a VideoLAN elnöke és egyben a VLC vezető fejlesztője, Jean-Baptiste Kempf több megjegyzést is fűzött a dologhoz. Egyrészt a felhasználók által beküldött hibajelentéshez fűzött kommentekben azt írta, hogy a VLC 3.0.7.1-es változatát már nem lehet ilyen módon kihasználni, senki ne higgyen a médiában olvasható információknak, és az egész leírt hibajelenséget nem is lehet reprodukálni.
A cég Twitteren is magyarázkodik, és számon kéri a hír kirobbanásáért felelősnek tartott biztonsági cégeket arra, hogy miért nem őket kérdezték meg először a dologról.
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly...
— VideoLAN (@videolan) July 23, 2019
Did you even check this?
— VideoLAN (@videolan) July 23, 2019
No one can reproduce this issue here.
Most már épp ott tart az ügy, hogy bizonyításképpen egy olyan videó letöltését ajánlgatják, amely állítólag korábban megfektette a The Register újságírói által használt VLC-t (egy 3.0.7-es verziót), ám ez a fájl lejátszás közben semmilyen szinten nem bántja a szoftver 3.0.7.1-es kiadását. Másrészt finomítják a hírt azzal, hogy a korábbi verziókra is csak az .mkv kiterjesztésű médiafájlok lehetnek veszélyesek.
Abban viszont még a cáfolatokat és tagadásokat közzé tevő Lifehacker is egyetért, hogy az ügy egyelőre kissé homályos és még mindig nem tudni, kinek lehet inkább igazat adni, egy elismert biztonságicégnek vagy a szoftver fejlesztőjének, így konklúzióként ők is azt tanácsolják, a helyzet tisztázásáig inkább használjunk másik médialejátszót.
