Vigyázz, óriási biztonsági rés tátong a VLC médialejátszóban!

|

A PC-s médialejátszók tömegében a VLC kiemelten népszerű, ezért is fontos a most kiderült kritikus sebezhetőség. Ezen át bármit megtehetnek a gépeddel anélkül, hogy észrevennéd.

Hirdetés

Frissítés: egyre több forrás, köztük maga a VLC-t készítő VideoLAN is cáfolja, hogy a baj akkora lenne, mint amekkorát a média világszerte megírt - részletek a cikk alatt.

A VideoLAN ingyenes szoftvere nem csak azért az egyik legelterjedtebb a kategóriájában, mert teljesen ingyenes és még idegesítő reklámok sem ugrálnak elénk ennek ellentételezésére. A VLC egyik vonzereje az, hogy nagyon sokféle médiafájllal megbirkózik úgy, hogy ezek lejátszásához nem használ különféle külső kodekeket. Most viszont biztonsági szakértők arra hívták fel a figyelmet, hogy olyan biztonsági rést találtak a programban, ami ellen egyelőre csak úgy védekezhetünk, ha teljesen letöröljük a gépünkről.

Hirdetés
Hirdetés

A német CERT-Bund szakemberei tették közzé a VLC hibáját, amelyet CVE-2019-13615 sorszámmal lajstromoztak. Elvileg mostanáig még nem tudni olyan esetről, amikor a hibát bárki kihasználta volna, de egy célzott javítás megjelenéséig erre bármikor sor kerülhet. A szakértők szerint a sebezhetőség kihasználásával bárki távolról beleláthat a gépünk tartalmába, megtekintheti az ott tárolt fájlokat, valamint a felhasználók engedélye nélkül szoftvereket telepíthet és futtathat. Tehát gyakorlatilag szabadon garázdálkodhat a PC-n.

A biztonsági rést a CERT-Bund egy tizes listán 9,8-ra értékelte, ami egyértelműen kritikus besorolást jelent. A vizsgálatok szerint a Windows mellett a Linux és Unix alatt futtatható VLC kiadások is veszélyben vannak, egyedül a macOS verziók felhasználóinak nem kell tartaniuk a hiba hatásaitól. A VideoLAN már jelezte, hogy dolgozik a rés befoltozásán, de a folyamat még csak 60 százalék környékén tart.

Hirdetés

Ez tehát azt jelenti, hogy aki nem szeretne rizikót vállalni, a javítás érkezéséig inkább nyomjon egy uninstallt a VLC-re, és ideiglenesen váltson valamilyen hasonlóan népszerű és ingyenes alternatívára, mint amilyen a KMPlayer vagy a Media Player Classic.

Frissítés: mégsem akkora a baj?

A fenti hírek gyorsan végigszáguldottak a tech- és általános médián világszerte, de úgy tűnik, valamelyik hírforrás nagyobbra turbózta a hibát, mint amekkora valójában. Egyrészt kiderült, hogy a VideoLAN felé elküldött hibajelentés már négy hetes igaz, ez még önmagában nem jelent semmit, ettől még simán lehetne súlyos a probléma. Viszont a VideoLAN elnöke és egyben a VLC vezető fejlesztője, Jean-Baptiste Kempf több megjegyzést is fűzött a dologhoz. Egyrészt a felhasználók által beküldött hibajelentéshez fűzött kommentekben azt írta, hogy a VLC 3.0.7.1-es változatát már nem lehet ilyen módon kihasználni, senki ne higgyen a médiában olvasható információknak, és az egész leírt hibajelenséget nem is lehet reprodukálni.

A cég Twitteren is magyarázkodik, és számon kéri a hír kirobbanásáért felelősnek tartott biztonsági cégeket arra, hogy miért nem őket kérdezték meg először a dologról.

Hirdetés

Most már épp ott tart az ügy, hogy bizonyításképpen egy olyan videó letöltését ajánlgatják, amely állítólag korábban megfektette a The Register újságírói által használt VLC-t (egy 3.0.7-es verziót), ám ez a fájl lejátszás közben semmilyen szinten nem bántja a szoftver 3.0.7.1-es kiadását. Másrészt finomítják a hírt azzal, hogy a korábbi verziókra is csak az .mkv kiterjesztésű médiafájlok lehetnek veszélyesek.

Abban viszont még a cáfolatokat és tagadásokat közzé tevő Lifehacker is egyetért, hogy az ügy egyelőre kissé homályos és még mindig nem tudni, kinek lehet inkább igazat adni, egy elismert biztonságicégnek vagy a szoftver fejlesztőjének, így konklúzióként ők is azt tanácsolják, a helyzet tisztázásáig inkább használjunk másik médialejátszót.

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://pcworld.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.