Θέλετε να απεγκαταστήσετε το VLC; Πολλές ιστοσελίδες αναφέρουν ότι αυτό μάλλον είναι η καλύτερη λύση, αλλά σύμφωνα με τους προγραμματιστές της εφαρμογής, το φερόμενο κενό ασφαλείας είναι υπερβολικό, και μπορεί να μην είναι καθόλου επικίνδυνο.
Το πρόβλημα άρχισε με τη δημοσίευση του CVE-2019-13615, που χαρακτηρίζεται σαν “κρίσιμη” ευπάθεια με βαθμολογία 9,8 στα 10 (Heap Based Buffer Overflow Vulnerability).
Οι προγραμματιστές της VLC δεν είναι ικανοποιημένοι με το ότι δεν είχαν καν επικοινωνήσει μαζί τους πριν από τη δημοσίευση αυτού του ελαττώματος .
Αυτό μάλλον δεν ήταν καλό. Από την άλλη τα 9,8 στα 10 ακούγονται σαν μια πυρηνική καταστροφή. Αυτό το ελάττωμα θα μπορούσε να οδηγήσει σε απομακρυσμένη εκτέλεση κώδικα, και θα μπορούσαν να αποκτήσουν τον έλεγχο του συστήματός σας μέσω ενός σφάλματος στο VLC.
Όπως αναφέρει το CVE, αυτό το ελάττωμα απαιτεί την αναπαραγωγή ενός ελαττωματικού αρχείου MKV. Θεωρητικά, αν κατεβάσετε ένα κακόβουλο αρχείο MKV από το διαδίκτυο και το τρέξετε, θα μπορούσε να θέσει σε κίνδυνο το VLC αν και κανείς δεν έχει αναφέρει ακόμα ότι αυτό έχει συμβεί ήδη. Επίσης, η έκδοση της εφαρμογής για το λειτουργικό macOS δεν φαίνεται να επηρεάζεται.
Έτσι, ακόμα και αν αυτό το ελάττωμα είναι τόσο κακό όσο ακούγεται, θα πρέπει να είστε ιδιαίτερα προσεκτικοί με τα αρχεία MKV. Μην κατεβάζετε μη αξιόπιστα αρχεία MKV και μην τα τρέχετε με την δημοφιλή εφαρμογή έως ότου κυκλοφορήσει κάποια ενημερωμένη έκδοση.
Όμως η ενημερωμένη έκδοση μάλλον θα αργήσει, καθώς οι προγραμματιστές της εφαρμογής VLC αναφέρουν ότι δεν μπορούν να αναπαραγάγουν το πρόβλημα.
Όπως εξηγούν οι προγραμματιστές της VLC στον bug tracker της VideoLAN:
“Λυπούμαστε, αλλά αυτό το σφάλμα δεν μπορεί να αναπαραχθεί και δεν συντρίβει καθόλου το VLC.” – Jean-Baptiste Kempf
“Εάν διαβάσατε για το σφάλμα μέσω κάποιου ειδησεογραφικού άρθρου που ισχυρίζεται ότι υπάρχει ένα κρίσιμο κενό στο VLC, σας προτείνω να διαβάσετε πρώτα το παραπάνω σχόλιο και να επανεξετάσετε τις (ψεύτικες) πηγές ειδήσεών σας.” – Francois Cartegnie
“Δεν συντρίβει την κανονική έκδοση του VLC 3.0.7.1” – Jean-Baptiste Kempf.
Αναμένουμε την απάντηση των ερευνητών που ανακάλυψαν το κενό ασφαλείας. Θα είναι ενδιαφέρον να δούμε ποιος κάνει λάθος.