Četrtek, 25. 7. 2019, 4.00
5 let, 3 mesece
Kaj se dogaja z zelo razširjenim programom? Ga je res treba izbrisati?
V začetku tedna je splet obkrožila bombastična novica o kritični napaki v izredno priljubljenem računalniškem programu za predvajanje videoposnetkov in drugih večpredstavnostnih vsebin VLC Media Player. Za "bombastičnost" sta imela precej zaslug svetovno znana tehnološka medija Gizmodo in Mashable, ki sta uporabnike pozivala, naj program izbrišejo s svojih računalnikov. Izkazalo se je, da je zadeva močno napihnjena in da je kakršenkoli preplah povsem neupravičen.
Ameriški medij Gizmodo je uporabnike po vsem svetu v ponedeljek zvečer v članku, ki ga je prebralo že milijon ljudi, pozval, naj nemudoma izbrišejo program VLC Media Player, saj vsebuje varnostno luknjo, ki lahko ogrozi njihov računalnik.
VLC je najverjetneje najpogosteje uporabljani predvajalnik večpredstavnostnih vsebin za osebne računalnike. Po podatkih na spletni strani njegovega razvijalca je program do zdaj zbral že več kot tri milijarde prenosov na naprave uporabnikov.
Temelj opozorila je bila raziskava strokovnjakov za informacijsko varnost Mitre, ki so v kodi programa VLC odkrili ranljivost in ji pripisali izredno visoko stopnjo nevarnosti, kar 9.8 od 10.
Oceno, ki uporabniku sporoča, da računalniški vdiralec (heker) z eno nogo tako rekoč že stoji v njegovem računalniku, si je VLC prislužil zato, ker naj bi napaka napadalcu omogočila, da v uporabnikov računalnik vdre prek okužene datoteke formata MKV. V tem formatu so praviloma shranjeni piratski filmi visoke kakovosti, ki jih je mogoče prenesti z več piratskih spletnih strani.
To je Jean-Baptiste Kempf, prvi mož neprofitne organizacije VideoLAN, ki razvija program VLC. Znan je predvsem po veliki načelnosti, saj mu tehnološke korporacije za odkup programa VLC že leta ponujajo gore denarja, a se jim do zdaj še ni uklonil.
V francoski neprofitni organizaciji VideoLAN, ki razvija in izdaja program VLC, so se na navedbe družbe Mitre in določenih tehnoloških medijev v torek na družbenem omrežju Twitter javno odzvali z zelo velikim nezadovoljstvom.
Poudarili so, da jih tisti, ki so domnevno odkrili ranljivost v programu VLC, na to nikoli niso opozorili, temveč so rezultate raziskave raje javno objavili na spletu. Za nameček so bile ugotovitve strokovnjakov napačne, trdi VideoLAN.
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly...
— VideoLAN (@videolan) 23 July 2019
Težava, s katero so bralce strašili nekateri tehnološki mediji, je bila namreč odpravljena že prej šestnajstimi meseci, kar pomeni, da so jo strokovnjaki za informacijsko varnost "odkrili" na zastareli različici programa VLC.
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) 24 July 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
Za nameček za ranljivost, ki po navedbah organizacije VideoLAN nikakor ni več aktualna, saj ne morejo ponoviti rezultatov raziskave družbe Mitre, sploh ni bil odgovoren VideoLAN, temveč zbirka ukazov, ki jo razvija nekdo drug.
Oh, btw, this is not a VLC vulnerability...
— VideoLAN (@videolan) 24 July 2019
Družba Mitre je tudi kršila lastna načela, saj je v njihovem pravilniku zapisano, da bodo v primeru ugotovitve nepravilnosti ali potencialne nevarnosti za uporabnike o tem vselej obvestili razvijalca programske opreme, da lahko izda popravek, še preden za ranljivost izve javnost.
For whatever reason, unknown to us, @MITREcorp decided to issue a CVE, without talking to us.
— VideoLAN (@videolan) 24 July 2019
This is in direct violation of their own policies, https://t.co/yyDhK6Ls3u pic.twitter.com/8AZWpimNBC
Na kratko: programa VLC ni treba odstraniti, saj varnostne luknje ni, uporabnike mirijo razvijalci programa.
Preberite tudi:
1