VLC jest bezpieczny. Twórcy prostują informację o krytycznej luce w odtwarzaczu
Odtwarzacz VLC nie ma krytycznej luki bezpieczeństwa i jest bezpieczny. Według informacji, która obiegła media kilka dni temu, korzystanie z VLC w dowolnej wersji miało być niebezpieczne z uwagi na lukę CVE-2019-13615. Twórcy odtwarzacza postanowili wyjaśnić szczegóły tego problemu i wyprowadzić opinię publiczną z błędu.
Okazuje się, że luka, o której mowa, została załatana ponad rok temu i obecne wersje odtwarzacza nie są już podatne na ataki, które miały ją wykorzystywać. Zamieszanie w mediach spowodowała natomiast problematyczna komunikacja z osobą, która zgłosiła lukę i niewłaściwe zgłoszenie podatności. Twórcy VLC deklarują, że wielokrotnie próbowali się skontaktować w tej sprawie ze zgłaszającym i były to próby bezskuteczne.
Co więcej, opisywanego błędu nie dało się na początku odtworzyć. Ostatecznie udało się jednak zauważyć, że problem dotyczy zewnętrznej biblioteki libebml i został załatany ponad 16 miesięcy temu. Twórcy VLC zwracają uwagę, że zgłaszający korzystał z Ubuntu 18.04, który nie jest najświeższą wersją, a także z niezaktualizowanych bibliotek. Nie wiadomo także dlaczego firma MITRE zdecydowała się przypisać sprawie kod CVE bez wcześniejszego kontaktu z twórcami VLC.
Twórcy gwarantują, że zaktualizowana i odporna na ataki biblioteka jest wykorzystywana w VLC począwszy od wersji 3.0.3. Koniec końców całe zamieszanie dotyczące luki w ostatnich dniach jest więc tylko pomyłką i konsekwencją niewłaściwego podejścia do sposobu zgłaszania podatności zarówno ze strony osoby, która zwróciła uwagę na problem, jak i firmy MITRE. Co najważniejsze, VLC jest bezpieczny i można z powodzeniem z niego korzystać.
Odtwarzacz VLC jest dostępny do pobrania z naszego katalogu.
