«Небо падает; удалите VLC прямо сейчас! » Это совет, который дают некоторые веб-сайты. Но предполагаемый недостаток VLC преувеличен и, по мнению разработчиков VLC, может даже не представлять реального риска.
Все началось с публикации CVE-2019-13615, которая отмечена как «критическая» уязвимость с оценкой 9,8 из 10. Разработчики VLC недовольны, что с ними даже не связались до публикации этой уязвимости.
Привет @MITREcorp и @CVEnew , тот факт, что вы НИКОГДА не связывались с нами по поводу уязвимостей VLC за годы до публикации, действительно не круто; но, по крайней мере, вы можете проверить свою информацию или проверить себя, прежде чем отправлять публично информацию об уязвимости 9.8 CVSS…
— VideoLAN (@videolan) 23 июля 2019 г.,
Но ведь это плохо? Это 9,8 из 10 — с точки зрения безопасности это звучит как приближающийся ядерный удар. Сообщается, что этот недостаток может привести к удаленному выполнению кода, что плохо. Злоумышленники могут получить контроль над вашей системой через ошибку в VLC.
Как объясняет CVE, этот недостаток требует воспроизведения искаженного файла MKV. Теоретически, если вы загрузите вредоносный файл MKV из Интернета и запустите его, он может поставить под угрозу VLC, хотя никто не утверждает, что это когда-либо происходило в реальном мире. Кроме того, похоже, что версия VLC для macOS не затронута.
Итак, даже если этот недостаток настолько серьезен, насколько серьезен, вы просто должны быть осторожны с файлами MKV — не загружайте ненадежные файлы MKV и не воспроизводите их в VLC, пока не будет выпущен патч. Держитесь подальше от MKV, если вы занимаетесь пиратством.
Но не так быстро! Разработчики VLC говорят, что они даже не могут воспроизвести проблему, предполагая, что есть серьезные проблемы с исходным отчетом об эксплойте.
Вы хоть это проверяли?
Никто не может воспроизвести здесь эту проблему.
— VideoLAN (@videolan) 23 июля 2019 г.,
В конце концов, вероятно, неплохо держаться подальше от загруженных файлов MKV, пока VLC не исправит этот недостаток. Но это все, что вам действительно нужно сделать, и даже это отчасти параноик.
Как объясняют разработчики VLC на Система отслеживания ошибок VideoLAN:
«Извините, но эта ошибка не воспроизводится и вообще не приводит к сбою VLC». -Жан-Батист Кемпф
«Если вы попали в этот тикет через новостную статью, в которой говорится о критическом недостатке в VLC, я предлагаю вам сначала прочитать вышеуказанный комментарий и пересмотреть свои (поддельные) источники новостей». -Франсуа Картеньи
«Это не приводит к аварийному завершению нормальной версии VLC 3.0.7.1» — Жан-Батист Кемпф
Обновление: вот более длинный ответ VideoLAN. По словам разработчиков, в текущем программном обеспечении VLC вообще нет недостатков.
Итак, репортер обнаружил ошибку в нашем багтрекере, которая выходит за рамки политики отчетности, иначе говоря, напишите нам в частном порядке на псевдоним безопасности.
Конечно, наш багтрекер общедоступен.
Мы, конечно, не смогли воспроизвести проблему и попытались связаться с исследователем безопасности наедине.
— VideoLAN (@videolan) 24 июля 2019 г.,