Secunia ostrzega przed lukami w VLC, programiści VLC skarżą się na okropne zachowanie Secunii

Rzadko kiedy myśli się o odtwarzaczach mediów w kategoriibezpieczeństwa. Jednak niektóre odtwarzacze dawno przestały być tylkoodtwarzaczami – taki VLC jest prawdziwym kombajnem z licznymifunkcjami sieciowymi (pozwala np. na odtwarzanie mediów z Sieci wprzeglądarce czy uruchomienie własnej internetowej rozgłośniradiowej). Potencjalne luki w VLC są więc sprawą, której ignorowaćnie można. Ale jak wygląda proces radzenia sobie z takimi lukami?Niestety dla użytkowników, nie za dobrze.Zaczęło się całkiem zwyczajnie: w grudniu 2012 roku Secuniaopublikowałaostrzeżenie związane z odkryciem Kaveha Ghaemmaghami –techniką ataku na VLC Media Playera, umożliwiającą uruchomieniewrogiego kodu z uprawnieniami użytkownika. Odkrycie badacza pojawiłosię po raz pierwszy na łamach listy Full Disclosure, jednak wskazanaprzez niego przyczyna nie była do końca poprawna (miało chodzić oprzepełnienie bufora podczas parsowania plików SWF). Badacze Secuniisami przyjrzeli się problemowi i ustalili, że chodzi tu o błąd typuuse-after-free,występujący podczas dekodowania plików wideo. Luka nie dotyczyła przytym samego odtwarzacza VLC, ale biblioteki FFmpeg, do której VLCstatycznie linkowało.Kilka tygodni później deweloperzy VLC wydali łatkę.Niestety, jak eksperci Secunii podkreślają, nie zrozumieli oni naturybłędu i ich łatka nic nie zmieniła – luka do tej pory występujew programie (nawet w jego najnowszej wersji2.0.7). Po wydaniu bezwartościowej łatki, Secunia skontaktowałasię z programistami VLC, informując o problemie. Wysłany e-mailzostał jednak zignorowany. Wkrótce potem inny badacz odkrył tę samąlukę w odtwarzaczu, tyle że tym razem atak został przeprowadzony zapomocą pliku AVI, a nie SWF, a do zgłoszenia dołączono exploita. Nakolejną wiadomość o niezałatanej luce i działającym exploicie zespółVLC w końcu odpowiedział, pisząc że nie jest to problem VLC, aleproblem bezpieczeństwa libavformat i już został załatany (…)błąd został naprawiony w wersji 2.0.5. [img=vlc-bug-opener]Sytuacja zrobiła się nieprzyjemna:dwóch badaczy niezależnie od siebie odkryło tę samą lukę, Secuniaostrzega w odpowiedzialny sposób producenta programu, ten zaśtwierdzi, że nic się nie stało. Badacze z Secunii postanowilipoczekać na kolejną wersję VLC, by zobaczyć, co się stanie. Gdyjednak wydano wersję 2.0.6, okazało się, że główny problem wciąż jestniezałatany, wprowadzone zmiany jedynie utrudniły proces ataku. Tojednak nie koniec – Jean-Baptiste Kempf, jeden z głównychdeweloperów VLC, wysłał do Secunii e-maila,w którym grozi sprawą sądową, jeśli w ostrzeżeniu dotyczącympodatności luka nie zostanie oznaczona jako załatana.Kolejne analizy problemu pokazały, żefaktycznie podatność use-after-free wciąż występuje w programie.Dalsze prace pozwoliły na stworzenie exploita działającego nawet wutrudnionych warunkach. Zdecydowano się więc pozostawić ostrzeżenie wstanie niezmienionym, i jak piszą badacze Secunia Research, czekająteraz na pozew ze strony zespołu deweloperów VLC. To nie koniec tej historii o dziwnymzachowaniu programistów VLC, gdyż historia zaczęła dążyć w stronęgroteski. Otóż w wersji 2.0.6 programu odkryto podatność związaną zbłędem przekroczenia zakresu liczb całkowitych podczas parsowaniaplików MKV. Exploit okazał się bardzo prosty do napisania, więc oproblemie Secunia poinformowała zespół VLC 23 kwietnia, zapotwierdzeniem odbioru, tj. miesiąc po odkryciu problemu. Gdy jednakHossein Lotfi z Secunii wysłał e-maila z pytaniem o status prac nadpoprawką do zgłoszonej luki, otrzymał zaskakującą odpowiedź –zespół VLC stwierdził, że nie wie o jaką lukę chodzi, pytając przy tym, dlaczegoma pomagać Secunii, skoro odmówiła ona współpracy z nimi. Odpowiedź była bardzo grzeczna, mimo że zespół VLC najwyraźniej nie rozumiał,kto tu pomaga komu – Secunia dostarczyła twórcom odtwarzaczaszczegółowy opis błędu wraz z kodem exploita. Mimo to programiści VLCzaczęli użalaćsię publicznie na Twitterze, że Secunia straszy ich kolejnymie-mailami, jednocześnie kłamiąc o rzekomych lukach w bezpieczeństwieich programu. Nieco później Jean-Baptiste Kempf opublikował na swoim blogu swoje stanowisko w tej sprawie, broniąc się przedzarzutami Secunii, i twierdząc, że Secunia w skandaliczny sposóbnarusza dobre praktyki zgłaszania usterek, a robi to pewnie dlatego,że łatwiej jest zaatakować grupę hobbystów niż wielkie firmy.Jednak nawet w samym zespole VLC niebyło jednomyślności: programista TypX umieścił na reddicie własne wyjaśnienia, które nie do końca zgadzają się ztym, co pisał Kempf. Przyznał, że usterka była realna, choć jegozdaniem sposób ujawnienia jej był technicznie błędny. Lukęzałatano w deweloperskiej wersji 2.1.0 VLC, poprawka jednak nietrafiła do linii 2.0.x programu, w wyniku jego przeoczenia sprawy. Procesów raczej nie będzie –sprawa zakończyła się przeprosinami. Niemniej widać jednak, że iprzyjaźni wielkiej między badaczami bezpieczeństwa IT a deweloperamibyć nie może. Podobnie jak i w sytuacji odkrycia niedawno opisywanejlukiw CryptoCacie, tak i tu widać, że bardzo często reakcją nanieprzyjemne rewelacje o lukach jest szybkie włożenie głowy w piasek.Niestety, nie rozwiązuje to zwykle sedna problemu, ostatecznie trzebasię jakoś z tymi dłubiącymi w oprogramowaniu whitehatami porozumieć.