neprihlásený Nedeľa, 9. augusta 2020, dnes má meniny Ľubomíra
Médiá hlásajú kritickú neopravenú zraniteľnosť vo VLC aj pre Windows, nie je to tak

Značky: VLCbezpečnosť

DSL.sk, 24.7.2019


V posledných dňoch rozličné médiá prišli s informáciou o kritickej a najmä stále a dlho neopravenej zraniteľnosti v populárnom multimediálnom prehrávači VLC neopravenej ani v poslednej verzii prehrávača vrátane verzie pre Windows, pričom cez zraniteľnosť má byť možné spúšťať ľubovoľný kód a v dôsledku tým útočník získa kontrolu nad PC po otvorení podvrhnutého MKV súboru.

Dokonca užívateľom odporúčali zvážiť odinštalovanie VLC.

Dnes sa k informáciám definitívne vyjadrili a vysvetlili ich vývojári VLC a podľa ich detailného vysvetlenia nie je informácia v tejto podobe pravdivá.

Incident poukázal nielen na nedostatky v práci médií ale aj na nedostatky v práci organizácií určených na prácu s informáciami o zraniteľnostiach. Na počiatku medializovania nesprávnych informácií bolo totiž pridelenie CVE identifikátora pre zraniteľnosť a upozornenie na zraniteľnosť nemeckej jednotky určenej pre reakciu na kybernetické bezpečnostné incidenty CERT-Bund a tiež amerického NVD NIST.

Všetko odštartovalo pridanie zistenia problému spôsobeného zraniteľnosťou typu pretečenia buffera na zásobníku do systému pre sledovanie chýb vývojára VLC, organizácie VideoLAN, ešte na konci júna jej nahlasovateľom, nie tímom za prehrávačom. Pridaný bol aj multimediálny súbor, ktorý zraniteľnosť zneužíva. Tento verejný systém ale nie je podľa vývojárov určený na nahlasovanie bezpečnostných zraniteľností. Vývojári nevedeli chybu reprodukovať a pokúšali sa nahlasovateľa kontaktovať, ten ale podľa ich dnešných informácií nemal na otázky odpovedať. Kedy prebehla komunikácia nie je jasné.



Organizácia MITRE podľa vývojárov bez toho aby ich kontaktovala vydala pre zraniteľnosť identifikátor CVE-2019-13615, čo je podľa vývojárov porušenie vlastných pravidiel MITRE. Na zraniteľnosť aj vo VLC 3.0.7.1 aj pre Windows upozornil nemecký CERT-Bund. Databáza NVD NIST upozornila na problém v aktuálnej verzii 3.0.7.1, pričom uvádza u zraniteľnosti skóre závažnosti CVSS v3.0 až 9.8 z 10. Kto požiadal o pridelenie CVE a čo bolo zdrojom pri stanovení CVSS skóre nie je jasné.

Médiá následne informovali o tom, že v aktuálnej verzii prehrávača VLC je kritická zraniteľnosť, ktorú objavil CERT-Bund, je prítomná v aktuálnej verzii VLC pre Linux, Unix aj Windows a je stále neopravená takmer po mesiaci od nahlásenia.

Podľa dnešných informácií vývojárov VLC ale žiadna z týchto informácii nie je v súčasnom kontexte správna. Za hlásený problém a pád prehrávača je podľa nich zodpovedná zraniteľnosť, ktorá skutočne podľa vývojárov existuje. Nenachádza sa ale priamo vo VLC ale v knižnici libebml využívanej softvérom, hlavne ale bola už dávno opravená vo verzii 1.3.6 knižnice v apríli minulého roka.

Pre operačné systémy, pre ktoré VLC vytvára binárne inštalátory, vrátane Windows bola podľa vývojárov zraniteľnosť opravená vo verzii 3.0.3 z mája minulého roka. V prípade linuxových distribúcií, na ktorých využíva VLC knižnicu libebml inštalovanú v systéme, je zodpovednosť za aktualizáciu knižnice na distribúcii.

Zraniteľnosť sa tak môže vyskytovať aj v súčasnosti na linuxových distribúciách, ktoré knižnicu neaktualizovali respektíve zraniteľnosť v nej neopravili. Nahlasovateľ práve používal distribúciu Ubuntu 18.04, ktorá podľa všetkého knižnicu stále neaktualizovala.

Stav si tak samozrejme zaslúžil upozornenie linuxových distribúcií s týmto problémom a ich užívateľov, ale samozrejme nie podľa informácií vývojárov VLC nepravdivé upozornenie tvrdiace že zraniteľná je verzia VLC 3.0.7.1 pre Windows a v prípade napríklad Linuxu že sa zraniteľnosť nachádza vo VLC.

Vývojári VLC v sérii tweetov kritizujú celkovo dlhodobý postup MITRE, keď táto organizácia ich podľa nich celkovo nekontaktuje v prípade zraniteľností a dozvedajú sa o nich až po zverejnení. K situácii, o akej sa pôvodne informovalo, by tak potenciálne mohlo prísť.

Vývojári kritizujú aj zraniteľnostiam prideľované skóre a napríklad píšu, že akákoľvek zraniteľnosť s nezneužiteľným pretečením pri čítaní dostane CVSS skóre 9.8, pričom väčšinou je dôsledkom iba pád, často nezneužiteľný, po otvorení podvrhnutého súboru. Či je to tak aj v prípade tejto zraniteľnosti a nedala sa zneužiť na spustenie útočníkom zvoleného kódu ani vo verziách v ktorých bola prítomná ale explicitne zrejme nepotvrdzujú.


      Zdieľaj na Twitteri



Najnovšie články:

Smartfóny s Qualcomm CPU sú zraniteľné, dajú sa využiť na špehovanie
Huawei kvôli sankciám v problémoch s CPU pre smartfóny, končí s vlastnými
Alza začala predávať alkohol
Sonda NASA pri asteroide si otestuje zostúpenie blízko k povrchu
Digitálne vysielanie rádií na Slovensku znížilo dátový tok
Eset identifikoval zraniteľnosti umožňujúce odpočúvať WiFi v ďalších čipsetoch
SpaceX na štvrtý pokus vyniesla Starlink satelity s tienidlami, video
Odštartoval nový Star Trek seriál, animovaný
Intel uvedie 10-nm procesory Tiger Lake 2. septembra
Českým doménam sa skrátila doba funkčnosti po exspirácii


Diskusia:
                               
 

Za chvíľu budú strašiť s aktualizáciou aj pri kalkulačke. Vzdialený útočník ťa sleduje!
Odpovedať Známka: 7.6 Hodnotiť:
 

A bude to mať na svedomí určite Vlado Putin :D
Odpovedať Známka: 3.6 Hodnotiť:
 

Samozrejme, keď celá Európska Únia tvrdí že treba udržiavať protiruské sankcie, určite to bude pravda!!!
Odpovedať Známka: -0.5 Hodnotiť:
 

Ale no, volajme ho radšej melodicky francúzsky: Le Vlado Putain.
Odpovedať Hodnotiť:
 

Tak si na kalkulačke naťukaj 705015 a otoč hore nohami.
Odpovedať Známka: 6.9 Hodnotiť:
 

Alebo 71830
Odpovedať Známka: 10.0 Hodnotiť:
 

œbil?
Odpovedať Hodnotiť:
 

oops, dsl nepodporuje spojené "oe". Takže oprava:
OEBIL?

:D
Odpovedať Hodnotiť:
 

na mobile ale nezabudni najprv na auto-rotate off, zeby si sa fakt necitil ako 7050
Odpovedať Známka: 10.0 Hodnotiť:
 

Vyskúšaj to na mikrovlnke.
Odpovedať Známka: 10.0 Hodnotiť:
 

Do pekla a mám po večeri.
Chcel som nastaviť na mikrovlne 11:34 a zabudol som, že mám dnu večeru, keď som ju obracal.
Odpovedať Známka: 10.0 Hodnotiť:
 

nic zober luzicku a jedz z mikrovlnky...
Odpovedať Známka: 10.0 Hodnotiť:
 

Osem párkov nezjem lyžičkou, keď sú v nich črepy z taniera.
Čo som komu urobil, že musím takto trpieť.
Odpovedať Známka: 8.0 Hodnotiť:
 

párky sa varia v kanvici, doble?
Odpovedať Známka: 10.0 Hodnotiť:
 

takze mal dat parky do kanvice, tu na tanier a ten do mikrovlnky?
Odpovedať Známka: 10.0 Hodnotiť:
 

Pre odborníkov na aplikáciu waveletovej transformácie v rámci teórie strún samozrejme niečo ako vzdialený útočník či vzdialené hoc'čo priekazne neexistuje.
Odpovedať Známka: -3.8 Hodnotiť:
 

Co tam po mediach. Az ked to budu hlasat v kostole, bude to naozaj vazna vec.
Odpovedať Známka: 7.9 Hodnotiť:
 

Amen..
Odpovedať Hodnotiť:
 

V médiach ta správa nevznikla len tak pre nič za nič... má to svoj dôvod...
Odpovedať Známka: -7.3 Hodnotiť:
 

O fakte, ktorý tu nie je obsahom článku, že ho americký vedci zistili, je z merita veci priekazne predčasné polemizovať.
Odpovedať Známka: 1.3 Hodnotiť:
 

nedarmo sa hovori: za vsetkym hladaj debila
Odpovedať Známka: 10.0 Hodnotiť:
 

Seriozny bordel v tom je sa ani vyvojarom VLC nedivim. Ten kto to nahlasil a neaktualizoval by mal dostat po tlame.
Odpovedať Známka: 8.0 Hodnotiť:
 

MPHC
Odpovedať Známka: -7.1 Hodnotiť:
 

teraz davam ludom mpv
linux tam je to no-brainer
ale aj na win je to dobre
vlc je strasne pomale, time jumps a startup
Odpovedať Známka: -4.0 Hodnotiť:
 

To fakt to má ovládacie prvky prekrývajúce obsah? No to je grc.
Odpovedať Známka: -6.0 Hodnotiť:
 

Len by sa hodilo nejaké menü tam, lebo na všetko mať klávesové skratky je dosť naprd. Inak súhlas, je mega rýchly.
Odpovedať Hodnotiť:
 

Vypada to tak, ze 18.04 ma starsiu verziu libeml, ale uz 18.10 ma novsiu. No neviem, v ktore verzii libeml to zaplatali...
https://bit.ly/2ycUH81
Odpovedať Hodnotiť:
 

Na mojom Linux Mint 19.1 stacilo stiahnut inkriminovanu kniznicu libebml4v5 napr. tu: https://bit.ly/2YqWKUD

Aktualizacia kniznice z verzie 1.3.5-2 na 1.3.6-2 bola bez problemov a nevyziadala si instalaciu/aktualizaciu dalsich resp. inych kniznic.
Odpovedať Hodnotiť:

Pridať komentár