Hace unas horas se ha hecho público un fallo de seguridad en VLC que está marcado con un 9.8 sobre 10 en la escala de peligrosidad. El “fallo crítico” lo ha descubierto CERT-Bund y ha sido publicado por WinFuture (en alemán), donde describen una vulnerabilidad que permite la ejecución de código remota, lo que podría permitir que un usuario malintencionado remoto instalara, modificara o ejecutara código sin que nos diéramos cuenta o incluso que accediera a los archivos de nuestro sistema. También ha sido difundido por Mitre.
Las versiones afectadas serían las de Linux, Windows y Unix, estando a salvo la de macOS, todo según WinFuture y el resto de fuentes que han difundido esta información. Lo bueno es que nadie ha explotado la vulnerabilidad, lo que, unido a la versión de VideoLan, nos deja con la duda de si todo esto es real o una falsa alarma. Pero lo cierto es que la versión de VideoLan, o una de terceros que decía que habían creado un parche al 60%, nos deja más dudas sobre lo que está pasando.
No es un fallo de VLC
Did you even check this?
— VideoLAN (@videolan) 23 de julio de 2019
No one can reproduce this issue here.
“¿Habéis siquiera comprobado esto? Nadie puede reproducir este problema aquí”
En el momento de escribir estas líneas, VideoLan parece muy indignado con lo que han hecho CVE y Mitre. Primero se quejan de que no han estado en contacto con ellos para nada durante años y ahora publican este fallo sin decirles nada. Luego dicen que no es un fallo de VLC, sino de una librería de terceros relacionada con los archivos MKV, y que está corregido desde hace meses:
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) 24 de julio de 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
“Sobre el ‘fallo de seguridad’ en #VLC”: VLC no es vulnerable. tl;dr: el fallo está en una librería de terceros, llamada libebml, que fue reparada hace más de 16 meses. VLC entrega la versión correcta desde 3.0.3, y Mitre ni comprobó lo que ha publicado”
Un fallo muy difícil de explotar
La compañía que desarrolla uno de los reproductores más populares del planeta también tiene otra queja: ¿cómo es posible que un fallo que no se puede explotar haya conseguido un 9.8 sobre 10 en la escala de peligrosidad? También dicen que, en el peor de los casos, es imposible robar datos del equipo ni ejecutar código remotamente, siendo lo más grave provocar un “crash” en el sistema operativo.
VideoLan ya usó un parche que soluciona un fallo que dicen que ya no existe en su reproductor. Aseguran que está corregido desde la v3.0.3 de VLC, pero hace solo unos minutos que han marcado como “cerrado” dicho parche. Lo cierto es que en él sí aparece la 3.0.3 como la versión afectada. Por si fuera poco, NIST ha modificado su entrada sobre esta vulnerabilidad diciendo que “Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez por el NVD. Está a la espera de un nuevo análisis que puede dar lugar a nuevos cambios en la información proporcionada“, lo que significa que los primeros análisis no son correctos.
Unos dicen que es superpeligroso usar VLC, incluso se ha llegado a recomendar su desinstalación, otros dicen que hay que comprobar lo que se publica y que el fallo no existe, otros modifican sus artículos originales… Lo único seguro es que yo no desinstalo VLC.
Fuente: ubunlog
