Kaj se dogaja z zelo razširjenim programom? Ga je res treba izbrisati?

Ameriški medij Gizmodo je uporabnike po vsem svetu v ponedeljek zvečer v članku, ki ga je prebralo že milijon ljudi, pozval, naj nemudoma izbrišejo program VLC Media Player, saj vsebuje varnostno luknjo, ki lahko ogrozi njihov računalnik.

VLC je najverjetneje najpogosteje uporabljani predvajalnik večpredstavnostnih vsebin za osebne računalnike. Po podatkih na spletni strani njegovega razvijalca je program do zdaj zbral že več kot tri milijarde prenosov na naprave uporabnikov. Foto: Matic Tomšič

Temelj opozorila je bila raziskava strokovnjakov za informacijsko varnost Mitre, ki so v kodi programa VLC odkrili ranljivost in ji pripisali izredno visoko stopnjo nevarnosti, kar 9.8 od 10.

Novice Resnica o paniki zaradi postaranih obrazov

Oceno, ki uporabniku sporoča, da računalniški vdiralec (heker) z eno nogo tako rekoč že stoji v njegovem računalniku, si je VLC prislužil zato, ker naj bi napaka napadalcu omogočila, da v uporabnikov računalnik vdre prek okužene datoteke formata MKV. V tem formatu so praviloma shranjeni piratski filmi visoke kakovosti, ki jih je mogoče prenesti z več piratskih spletnih strani. 

To je Jean-Baptiste Kempf, prvi mož neprofitne organizacije VideoLAN, ki razvija program VLC. Znan je predvsem po veliki načelnosti, saj mu tehnološke korporacije za odkup programa VLC že leta ponujajo gore denarja, a se jim do zdaj še ni uklonil. Foto: Facebook

V francoski neprofitni organizaciji VideoLAN, ki razvija in izdaja program VLC, so se na navedbe družbe Mitre in določenih tehnoloških medijev v torek na družbenem omrežju Twitter javno odzvali z zelo velikim nezadovoljstvom. 

Poudarili so, da jih tisti, ki so domnevno odkrili ranljivost v programu VLC, na to nikoli niso opozorili, temveč so rezultate raziskave raje javno objavili na spletu. Za nameček so bile ugotovitve strokovnjakov napačne, trdi VideoLAN. 

Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly...

— VideoLAN (@videolan) 23 July 2019

Težava, s katero so bralce strašili nekateri tehnološki mediji, je bila namreč odpravljena že prej šestnajstimi meseci, kar pomeni, da so jo strokovnjaki za informacijsko varnost "odkrili" na zastareli različici programa VLC.

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

— VideoLAN (@videolan) 24 July 2019

Za nameček za ranljivost, ki po navedbah organizacije VideoLAN nikakor ni več aktualna, saj ne morejo ponoviti rezultatov raziskave družbe Mitre, sploh ni bil odgovoren VideoLAN, temveč zbirka ukazov, ki jo razvija nekdo drug. 

Oh, btw, this is not a VLC vulnerability...

— VideoLAN (@videolan) 24 July 2019

Družba Mitre je tudi kršila lastna načela, saj je v njihovem pravilniku zapisano, da bodo v primeru ugotovitve nepravilnosti ali potencialne nevarnosti za uporabnike o tem vselej obvestili razvijalca programske opreme, da lahko izda popravek, še preden za ranljivost izve javnost.

For whatever reason, unknown to us, @MITREcorp decided to issue a CVE, without talking to us.

This is in direct violation of their own policies, https://t.co/yyDhK6Ls3u pic.twitter.com/8AZWpimNBC

— VideoLAN (@videolan) 24 July 2019

Na kratko: programa VLC ni treba odstraniti, saj varnostne luknje ni, uporabnike mirijo razvijalci programa. 

Preberite tudi:

Novice Klonila je zelo priljubljena slovenska spletna stran: kaj se dogaja?

Novice Sporni "čudežni" program, ki lahko sleče vsako žensko: raje ga ne iščite

Novice Slovenske banke ukinjajo enega najpogostejših načinov plačevanja

Novice Eden največjih razlogov, zakaj domači Wi-Fi ne "vleče" dobro