Médiá hlásajú kritickú neopravenú zraniteľnosť vo VLC aj pre Windows, nie je to tak

Značky: VLCbezpečnosť

DSL.sk, 24.7.2019

V posledných dňoch rozličné médiá prišli s informáciou o kritickej a najmä stále a dlho neopravenej zraniteľnosti v populárnom multimediálnom prehrávači VLC neopravenej ani v poslednej verzii prehrávača vrátane verzie pre Windows, pričom cez zraniteľnosť má byť možné spúšťať ľubovoľný kód a v dôsledku tým útočník získa kontrolu nad PC po otvorení podvrhnutého MKV súboru.

Dokonca užívateľom odporúčali zvážiť odinštalovanie VLC.

Dnes sa k informáciám definitívne vyjadrili a vysvetlili ich vývojári VLC a podľa ich detailného vysvetlenia nie je informácia v tejto podobe pravdivá.

Incident poukázal nielen na nedostatky v práci médií ale aj na nedostatky v práci organizácií určených na prácu s informáciami o zraniteľnostiach. Na počiatku medializovania nesprávnych informácií bolo totiž pridelenie CVE identifikátora pre zraniteľnosť a upozornenie na zraniteľnosť nemeckej jednotky určenej pre reakciu na kybernetické bezpečnostné incidenty CERT-Bund a tiež amerického NVD NIST.

Všetko odštartovalo pridanie zistenia problému spôsobeného zraniteľnosťou typu pretečenia buffera na zásobníku do systému pre sledovanie chýb vývojára VLC, organizácie VideoLAN, ešte na konci júna jej nahlasovateľom, nie tímom za prehrávačom. Pridaný bol aj multimediálny súbor, ktorý zraniteľnosť zneužíva. Tento verejný systém ale nie je podľa vývojárov určený na nahlasovanie bezpečnostných zraniteľností. Vývojári nevedeli chybu reprodukovať a pokúšali sa nahlasovateľa kontaktovať, ten ale podľa ich dnešných informácií nemal na otázky odpovedať. Kedy prebehla komunikácia nie je jasné.

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

— VideoLAN (@videolan) July 24, 2019

Organizácia MITRE podľa vývojárov bez toho aby ich kontaktovala vydala pre zraniteľnosť identifikátor CVE-2019-13615, čo je podľa vývojárov porušenie vlastných pravidiel MITRE. Na zraniteľnosť aj vo VLC 3.0.7.1 aj pre Windows upozornil nemecký CERT-Bund. Databáza NVD NIST upozornila na problém v aktuálnej verzii 3.0.7.1, pričom uvádza u zraniteľnosti skóre závažnosti CVSS v3.0 až 9.8 z 10. Kto požiadal o pridelenie CVE a čo bolo zdrojom pri stanovení CVSS skóre nie je jasné.

Médiá následne informovali o tom, že v aktuálnej verzii prehrávača VLC je kritická zraniteľnosť, ktorú objavil CERT-Bund, je prítomná v aktuálnej verzii VLC pre Linux, Unix aj Windows a je stále neopravená takmer po mesiaci od nahlásenia.

Podľa dnešných informácií vývojárov VLC ale žiadna z týchto informácii nie je v súčasnom kontexte správna. Za hlásený problém a pád prehrávača je podľa nich zodpovedná zraniteľnosť, ktorá skutočne podľa vývojárov existuje. Nenachádza sa ale priamo vo VLC ale v knižnici libebml využívanej softvérom, hlavne ale bola už dávno opravená vo verzii 1.3.6 knižnice v apríli minulého roka.

Pre operačné systémy, pre ktoré VLC vytvára binárne inštalátory, vrátane Windows bola podľa vývojárov zraniteľnosť opravená vo verzii 3.0.3 z mája minulého roka. V prípade linuxových distribúcií, na ktorých využíva VLC knižnicu libebml inštalovanú v systéme, je zodpovednosť za aktualizáciu knižnice na distribúcii.

Zraniteľnosť sa tak môže vyskytovať aj v súčasnosti na linuxových distribúciách, ktoré knižnicu neaktualizovali respektíve zraniteľnosť v nej neopravili. Nahlasovateľ práve používal distribúciu Ubuntu 18.04, ktorá podľa všetkého knižnicu stále neaktualizovala.

Stav si tak samozrejme zaslúžil upozornenie linuxových distribúcií s týmto problémom a ich užívateľov, ale samozrejme nie podľa informácií vývojárov VLC nepravdivé upozornenie tvrdiace že zraniteľná je verzia VLC 3.0.7.1 pre Windows a v prípade napríklad Linuxu že sa zraniteľnosť nachádza vo VLC.

Vývojári VLC v sérii tweetov kritizujú celkovo dlhodobý postup MITRE, keď táto organizácia ich podľa nich celkovo nekontaktuje v prípade zraniteľností a dozvedajú sa o nich až po zverejnení. K situácii, o akej sa pôvodne informovalo, by tak potenciálne mohlo prísť.

Vývojári kritizujú aj zraniteľnostiam prideľované skóre a napríklad píšu, že akákoľvek zraniteľnosť s nezneužiteľným pretečením pri čítaní dostane CVSS skóre 9.8, pričom väčšinou je dôsledkom iba pád, často nezneužiteľný, po otvorení podvrhnutého súboru. Či je to tak aj v prípade tejto zraniteľnosti a nedala sa zneužiť na spustenie útočníkom zvoleného kódu ani vo verziách v ktorých bola prítomná ale explicitne zrejme nepotvrdzujú.




Najnovšie články:



Diskusia:

dnes má meniny Vladimír Od: peter_svk | Pridané: 24.7.2019 15:22 Za chvíľu budú strašiť s aktualizáciou aj pri kalkulačke. Vzdialený útočník ťa sleduje! Odpovedať Známka: 7.6 Hodnotiť:

Re: dnes má meniny Vladimír Od: dj_v | Pridané: 24.7.2019 15:48 A bude to mať na svedomí určite Vlado Putin :D Odpovedať Známka: 3.6 Hodnotiť:

Re: dnes má meniny Vladimír Od: xyz. | Pridané: 24.7.2019 19:32 Samozrejme, keď celá Európska Únia tvrdí že treba udržiavať protiruské sankcie, určite to bude pravda!!! Odpovedať Známka: -0.5 Hodnotiť:

Re: dnes má meniny Vladimír Od reg.: M.Miiicho | Pridané: 25.7.2019 10:48 Ale no, volajme ho radšej melodicky francúzsky: Le Vlado Putain. Odpovedať Hodnotiť:

Re: dnes má meniny Vladimír Od: _iso | Pridané: 24.7.2019 16:06 Tak si na kalkulačke naťukaj 705015 a otoč hore nohami. Odpovedať Známka: 6.9 Hodnotiť:

Re: dnes má meniny Vladimír Od: Tulen | Pridané: 24.7.2019 17:13 Alebo 71830 Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Vladimír Od reg.: M.Miiicho | Pridané: 25.7.2019 10:49 œbil? Odpovedať Hodnotiť:

Re: dnes má meniny Vladimír Od reg.: M.Miiicho | Pridané: 25.7.2019 10:50 oops, dsl nepodporuje spojené "oe". Takže oprava: OEBIL? :D Odpovedať Hodnotiť:

Re: dnes má meniny Vladimír Od: Vladimirr | Pridané: 24.7.2019 18:00 na mobile ale nezabudni najprv na auto-rotate off, zeby si sa fakt necitil ako 7050 Odpovedať Známka: 10.0 Hodnotiť:

Re: dnes má meniny Vladimír Od reg.: zatvor_Rit | Pridané: 24.7.2019 20:50 Vyskúšaj to na mikrovlnke. Odpovedať Známka: 10.0 Hodnotiť:

hell 11:34 Od reg.: Marianko kotleba | Pridané: 24.7.2019 20:59 Do pekla a mám po večeri. Chcel som nastaviť na mikrovlne 11:34 a zabudol som, že mám dnu večeru, keď som ju obracal. Odpovedať Známka: 10.0 Hodnotiť:

Re: hell 11:34 Od: Milanko Uhrik | Pridané: 24.7.2019 22:33 nic zober luzicku a jedz z mikrovlnky... Odpovedať Známka: 10.0 Hodnotiť:

Re: hell 11:34 Od reg.: Marianko kotleba | Pridané: 24.7.2019 22:56 Osem párkov nezjem lyžičkou, keď sú v nich črepy z taniera. Čo som komu urobil, že musím takto trpieť. Odpovedať Známka: 8.0 Hodnotiť:

Re: hell 11:34 Od: ... | Pridané: 25.7.2019 9:19 párky sa varia v kanvici, doble? Odpovedať Známka: 10.0 Hodnotiť:

Re: hell 11:34 Od: jahôdka | Pridané: 25.7.2019 9:47 takze mal dat parky do kanvice, tu na tanier a ten do mikrovlnky? Odpovedať Známka: 10.0 Hodnotiť:

ničivý praktik S005E002666 Od: syntaxterrorX .XXX | Pridané: 24.7.2019 16:16 Pre odborníkov na aplikáciu waveletovej transformácie v rámci teórie strún samozrejme niečo ako vzdialený útočník či vzdialené hoc'čo priekazne neexistuje. Odpovedať Známka: -3.8 Hodnotiť:

v kostole Od: ktoosooom | Pridané: 24.7.2019 15:52 Co tam po mediach. Az ked to budu hlasat v kostole, bude to naozaj vazna vec. Odpovedať Známka: 7.9 Hodnotiť:

Re: v kostole Od: klávesnice | Pridané: 25.7.2019 21:22 Amen.. Odpovedať Hodnotiť:

/dev/titulok Od: /dev/null | Pridané: 24.7.2019 15:56 V médiach ta správa nevznikla len tak pre nič za nič... má to svoj dôvod... Odpovedať Známka: -7.3 Hodnotiť:

ultraradikalny fakticizmus Od: syntaxterrorX .XXX | Pridané: 24.7.2019 17:33 O fakte, ktorý tu nie je obsahom článku, že ho americký vedci zistili, je z merita veci priekazne predčasné polemizovať. Odpovedať Známka: 1.2 Hodnotiť:

Re: /dev/titulok Od: 3nterprise | Pridané: 24.7.2019 20:59 nedarmo sa hovori: za vsetkym hladaj debila Odpovedať Známka: 10.0 Hodnotiť:

dnes má meniny Vladimír Od: Vera Pohlova dochodkyna | Pridané: 24.7.2019 16:03 Seriozny bordel v tom je sa ani vyvojarom VLC nedivim. Ten kto to nahlasil a neaktualizoval by mal dostat po tlame. Odpovedať Známka: 8.0 Hodnotiť:

:) back to basics Od: konigstagg | Pridané: 24.7.2019 20:55 MPHC Odpovedať Známka: -7.1 Hodnotiť:

;a;a;a;a Od: arch_bastard | Pridané: 24.7.2019 21:46 teraz davam ludom mpv linux tam je to no-brainer ale aj na win je to dobre vlc je strasne pomale, time jumps a startup Odpovedať Známka: -4.0 Hodnotiť:

Re: ;a;a;a;a Od: Aladin | Pridané: 25.7.2019 8:29 To fakt to má ovládacie prvky prekrývajúce obsah? No to je grc. Odpovedať Známka: -6.0 Hodnotiť:

Re: ;a;a;a;a Od reg.: M.Miiicho | Pridané: 25.7.2019 10:52 Len by sa hodilo nejaké menü tam, lebo na všetko mať klávesové skratky je dosť naprd. Inak súhlas, je mega rýchly. Odpovedať Hodnotiť:

Linux libeml Od: sandisxxx | Pridané: 25.7.2019 11:14 Vypada to tak, ze 18.04 ma starsiu verziu libeml, ale uz 18.10 ma novsiu. No neviem, v ktore verzii libeml to zaplatali... https://bit.ly/2ycUH81 Odpovedať Hodnotiť:

Aktualizacia Od: Halapartna | Pridané: 25.7.2019 14:52 Na mojom Linux Mint 19.1 stacilo stiahnut inkriminovanu kniznicu libebml4v5 napr. tu: https://bit.ly/2YqWKUD Aktualizacia kniznice z verzie 1.3.5-2 na 1.3.6-2 bola bez problemov a nevyziadala si instalaciu/aktualizaciu dalsich resp. inych kniznic. Odpovedať Hodnotiť:

Pridať komentár