VLC to szalenie popularny, darmowy i otwarty odtwarzacz multimediów. Niestety mimo dobrej sławy i w nim dopatrzono się zagrożenia. Niemiecka agencja cyberbezpieczeństwa, CERT-Bund, odpowiedzialna m.in. za organizację odpowiedzi kraju na wszelkie awarie komputerowe, odkryła niedawno - jak to zostało określone - krytyczną podatność w odtwarzaczu VLC. Nie do końca z jej stanowiskiem zgadzają się jednak twórcy aplikacji. W czym rzecz i czy jest się czego bać?
VLC zasłynął jako wysoce kompatybilny odtwarzacz multimedialny i dzięki temu może pochwalić się imponującą liczbą pobrań - w sumie ponad 3 miliardami. Jak na ironię, czyni to każdą lukę w zabezpieczeniach jeszcze groźniejszą i atrakcyjniejszą dla potencjalnych atakujących. CERT-Bund sklasyfikował lukę, zarejestrowaną oficjalnie jako CVE-2019-13615, jako exploit o wysokim ("High") znaczeniu (poziom 4), które stanowi drugi najwyższy poziom oceny ryzyka przez agencję.
Reklama
Exploit ten jest dość paskudny i pozwala atakującym nie tylko na zdalne wykonanie kodu, ale również na nieautoryzowane ujawnienie informacji, nieautoryzowaną modyfikację plików i zakłócenie działania usługi. VLC jest już w trakcie tworzenia poprawki, o czym można przeczytać na jego stronie internetowej. Nie wiadomo jeszcze, kiedy zostanie ukończona. CERT-Bund mówi, że nie ma znanych przypadków wykorzystania exploita przez atakujących, ale dobrym pomysłem byłoby na razie niekorzystanie z VLC, dopóki nie pobierzemy łatki.
A co na ten temat mówią deweloperzy programu? VideoLAN obwieścił na Twitterze, że luka nie leży w samym VLC, lecz w przestarzałej, zewnętrznej bibliotece o nazwie libebml, która została poprawiona 16 miesięcy temu. VLC, począwszy od wersji 3.0.3, udostępniany jest już z poprawioną wersją biblioteki.
341f31d.png)