r   e   k   l   a   m   a
r   e   k   l   a   m   a

Secunia ostrzega przed lukami w VLC, programiści VLC skarżą się na okropne zachowanie Secunii

Strona główna AktualnościOPROGRAMOWANIE

Rzadko kiedy myśli się o odtwarzaczach mediów w kategorii bezpieczeństwa. Jednak niektóre odtwarzacze dawno przestały być tylko odtwarzaczami – taki VLC jest prawdziwym kombajnem z licznymi funkcjami sieciowymi (pozwala np. na odtwarzanie mediów z Sieci w przeglądarce czy uruchomienie własnej internetowej rozgłośni radiowej). Potencjalne luki w VLC są więc sprawą, której ignorować nie można. Ale jak wygląda proces radzenia sobie z takimi lukami? Niestety dla użytkowników, nie za dobrze.

Zaczęło się całkiem zwyczajnie: w grudniu 2012 roku Secunia opublikowała ostrzeżenie związane z odkryciem Kaveha Ghaemmaghami – techniką ataku na VLC Media Playera, umożliwiającą uruchomienie wrogiego kodu z uprawnieniami użytkownika. Odkrycie badacza pojawiło się po raz pierwszy na łamach listy Full Disclosure, jednak wskazana przez niego przyczyna nie była do końca poprawna (miało chodzić o przepełnienie bufora podczas parsowania plików SWF). Badacze Secunii sami przyjrzeli się problemowi i ustalili, że chodzi tu o błąd typu use-after-free, występujący podczas dekodowania plików wideo. Luka nie dotyczyła przy tym samego odtwarzacza VLC, ale biblioteki FFmpeg, do której VLC statycznie linkowało.

Kilka tygodni później deweloperzy VLC wydali łatkę. Niestety, jak eksperci Secunii podkreślają, nie zrozumieli oni natury błędu i ich łatka nic nie zmieniła – luka do tej pory występuje w programie (nawet w jego najnowszej wersji 2.0.7). Po wydaniu bezwartościowej łatki, Secunia skontaktowała się z programistami VLC, informując o problemie. Wysłany e-mail został jednak zignorowany. Wkrótce potem inny badacz odkrył tę samą lukę w odtwarzaczu, tyle że tym razem atak został przeprowadzony za pomocą pliku AVI, a nie SWF, a do zgłoszenia dołączono exploita. Na kolejną wiadomość o niezałatanej luce i działającym exploicie zespół VLC w końcu odpowiedział, pisząc że nie jest to problem VLC, ale problem bezpieczeństwa libavformat i już został załatany (…) błąd został naprawiony w wersji 2.0.5.

Sytuacja zrobiła się nieprzyjemna: dwóch badaczy niezależnie od siebie odkryło tę samą lukę, Secunia ostrzega w odpowiedzialny sposób producenta programu, ten zaś twierdzi, że nic się nie stało. Badacze z Secunii postanowili poczekać na kolejną wersję VLC, by zobaczyć, co się stanie. Gdy jednak wydano wersję 2.0.6, okazało się, że główny problem wciąż jest niezałatany, wprowadzone zmiany jedynie utrudniły proces ataku. To jednak nie koniec – Jean-Baptiste Kempf, jeden z głównych deweloperów VLC, wysłał do Secunii e-maila, w którym grozi sprawą sądową, jeśli w ostrzeżeniu dotyczącym podatności luka nie zostanie oznaczona jako załatana.

Kolejne analizy problemu pokazały, że faktycznie podatność use-after-free wciąż występuje w programie. Dalsze prace pozwoliły na stworzenie exploita działającego nawet w utrudnionych warunkach. Zdecydowano się więc pozostawić ostrzeżenie w stanie niezmienionym, i jak piszą badacze Secunia Research, czekają teraz na pozew ze strony zespołu deweloperów VLC.

To nie koniec tej historii o dziwnym zachowaniu programistów VLC, gdyż historia zaczęła dążyć w stronę groteski. Otóż w wersji 2.0.6 programu odkryto podatność związaną z błędem przekroczenia zakresu liczb całkowitych podczas parsowania plików MKV. Exploit okazał się bardzo prosty do napisania, więc o problemie Secunia poinformowała zespół VLC 23 kwietnia, za potwierdzeniem odbioru, tj. miesiąc po odkryciu problemu. Gdy jednak Hossein Lotfi z Secunii wysłał e-maila z pytaniem o status prac nad poprawką do zgłoszonej luki, otrzymał zaskakującą odpowiedź – zespół VLC stwierdził, że nie wie o jaką lukę chodzi, pytając przy tym, dlaczego ma pomagać Secunii, skoro odmówiła ona współpracy z nimi.

Odpowiedź była bardzo grzeczna, mimo że zespół VLC najwyraźniej nie rozumiał, kto tu pomaga komu – Secunia dostarczyła twórcom odtwarzacza szczegółowy opis błędu wraz z kodem exploita. Mimo to programiści VLC zaczęli użalać się publicznie na Twitterze, że Secunia straszy ich kolejnymi e-mailami, jednocześnie kłamiąc o rzekomych lukach w bezpieczeństwie ich programu. Nieco później Jean-Baptiste Kempf opublikował na swoim blogu swoje stanowisko w tej sprawie, broniąc się przed zarzutami Secunii, i twierdząc, że Secunia w skandaliczny sposób narusza dobre praktyki zgłaszania usterek, a robi to pewnie dlatego, że łatwiej jest zaatakować grupę hobbystów niż wielkie firmy.

Jednak nawet w samym zespole VLC nie było jednomyślności: programista TypX umieścił na reddicie własne wyjaśnienia, które nie do końca zgadzają się z tym, co pisał Kempf. Przyznał, że usterka była realna, choć jego zdaniem sposób ujawnienia jej był technicznie błędny. Lukę załatano w deweloperskiej wersji 2.1.0 VLC, poprawka jednak nie trafiła do linii 2.0.x programu, w wyniku jego przeoczenia sprawy.

Procesów raczej nie będzie – sprawa zakończyła się przeprosinami. Niemniej widać jednak, że i przyjaźni wielkiej między badaczami bezpieczeństwa IT a deweloperami być nie może. Podobnie jak i w sytuacji odkrycia niedawno opisywanej luki w CryptoCacie, tak i tu widać, że bardzo często reakcją na nieprzyjemne rewelacje o lukach jest szybkie włożenie głowy w piasek. Niestety, nie rozwiązuje to zwykle sedna problemu, ostatecznie trzeba się jakoś z tymi dłubiącymi w oprogramowaniu whitehatami porozumieć.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.