  |
Za poslednú hodinu: 0 meraní | ||||
|
inzercia |
|||||
 
neprihlásený 
| Nedeľa, 24. novembra 2024, dnes má meniny Emília |
|
Médiá hlásajú kritickú neopravenú zraniteľnosť vo VLC aj pre Windows, nie je to tak
VLC
V posledných dňoch rozličné médiá prišli s informáciou o kritickej a najmä stále a dlho neopravenej zraniteľnosti v populárnom multimediálnom prehrávači VLC neopravenej ani v poslednej verzii prehrávača vrátane verzie pre Windows, pričom cez zraniteľnosť má byť možné spúšťať ľubovoľný kód a v dôsledku tým útočník získa kontrolu nad PC po otvorení podvrhnutého MKV súboru. Dokonca užívateľom odporúčali zvážiť odinštalovanie VLC. Dnes sa k informáciám definitívne vyjadrili a vysvetlili ich vývojári VLC a podľa ich detailného vysvetlenia nie je informácia v tejto podobe pravdivá. Incident poukázal nielen na nedostatky v práci médií ale aj na nedostatky v práci organizácií určených na prácu s informáciami o zraniteľnostiach. Na počiatku medializovania nesprávnych informácií bolo totiž pridelenie CVE identifikátora pre zraniteľnosť a upozornenie na zraniteľnosť nemeckej jednotky určenej pre reakciu na kybernetické bezpečnostné incidenty CERT-Bund a tiež amerického NVD NIST. Všetko odštartovalo pridanie zistenia problému spôsobeného zraniteľnosťou typu pretečenia buffera na zásobníku do systému pre sledovanie chýb vývojára VLC, organizácie VideoLAN, ešte na konci júna jej nahlasovateľom, nie tímom za prehrávačom. Pridaný bol aj multimediálny súbor, ktorý zraniteľnosť zneužíva. Tento verejný systém ale nie je podľa vývojárov určený na nahlasovanie bezpečnostných zraniteľností. Vývojári nevedeli chybu reprodukovať a pokúšali sa nahlasovateľa kontaktovať, ten ale podľa ich dnešných informácií nemal na otázky odpovedať. Kedy prebehla komunikácia nie je jasné.
Organizácia MITRE podľa vývojárov bez toho aby ich kontaktovala vydala pre zraniteľnosť identifikátor CVE-2019-13615, čo je podľa vývojárov porušenie vlastných pravidiel MITRE. Na zraniteľnosť aj vo VLC 3.0.7.1 aj pre Windows upozornil nemecký CERT-Bund. Databáza NVD NIST upozornila na problém v aktuálnej verzii 3.0.7.1, pričom uvádza u zraniteľnosti skóre závažnosti CVSS v3.0 až 9.8 z 10. Kto požiadal o pridelenie CVE a čo bolo zdrojom pri stanovení CVSS skóre nie je jasné. Médiá následne informovali o tom, že v aktuálnej verzii prehrávača VLC je kritická zraniteľnosť, ktorú objavil CERT-Bund, je prítomná v aktuálnej verzii VLC pre Linux, Unix aj Windows a je stále neopravená takmer po mesiaci od nahlásenia. Podľa dnešných informácií vývojárov VLC ale žiadna z týchto informácii nie je v súčasnom kontexte správna. Za hlásený problém a pád prehrávača je podľa nich zodpovedná zraniteľnosť, ktorá skutočne podľa vývojárov existuje. Nenachádza sa ale priamo vo VLC ale v knižnici libebml využívanej softvérom, hlavne ale bola už dávno opravená vo verzii 1.3.6 knižnice v apríli minulého roka. Pre operačné systémy, pre ktoré VLC vytvára binárne inštalátory, vrátane Windows bola podľa vývojárov zraniteľnosť opravená vo verzii 3.0.3 z mája minulého roka. V prípade linuxových distribúcií, na ktorých využíva VLC knižnicu libebml inštalovanú v systéme, je zodpovednosť za aktualizáciu knižnice na distribúcii. Zraniteľnosť sa tak môže vyskytovať aj v súčasnosti na linuxových distribúciách, ktoré knižnicu neaktualizovali respektíve zraniteľnosť v nej neopravili. Nahlasovateľ práve používal distribúciu Ubuntu 18.04, ktorá podľa všetkého knižnicu stále neaktualizovala. Stav si tak samozrejme zaslúžil upozornenie linuxových distribúcií s týmto problémom a ich užívateľov, ale samozrejme nie podľa informácií vývojárov VLC nepravdivé upozornenie tvrdiace že zraniteľná je verzia VLC 3.0.7.1 pre Windows a v prípade napríklad Linuxu že sa zraniteľnosť nachádza vo VLC. Vývojári VLC v sérii tweetov kritizujú celkovo dlhodobý postup MITRE, keď táto organizácia ich podľa nich celkovo nekontaktuje v prípade zraniteľností a dozvedajú sa o nich až po zverejnení. K situácii, o akej sa pôvodne informovalo, by tak potenciálne mohlo prísť. Vývojári kritizujú aj zraniteľnostiam prideľované skóre a napríklad píšu, že akákoľvek zraniteľnosť s nezneužiteľným pretečením pri čítaní dostane CVSS skóre 9.8, pričom väčšinou je dôsledkom iba pád, často nezneužiteľný, po otvorení podvrhnutého súboru. Či je to tak aj v prípade tejto zraniteľnosti a nedala sa zneužiť na spustenie útočníkom zvoleného kódu ani vo verziách v ktorých bola prítomná ale explicitne zrejme nepotvrdzujú. 
Najnovšie články: inzercia Diskusia:
Pridať komentár | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
