¿Es vulnerable el reproductor multimedia VLC a los hackers?

El reproductor multimedia VLC tiene un ‘problema de seguridad crítico’, VideoLAN dice que la falla de seguridad está solucionada

VLC Media Player, un popular reproductor multimedia multiplataforma, tiene una vulnerabilidad crítica que permite a los hackers secuestrar tus computadoras y ver tus archivos, afirmó un investigador de seguridad.

Relacionado - 5 Mejores Alternativas al Reproductor Multimedia VLC

La falla de seguridad CVE-2019-13615, calificada como “crítica”, fue identificada por el Equipo Nacional de Respuesta a Emergencias Informáticas de Alemania (CERT Bund). La vulnerabilidad afecta a la versión 3.0.7.1 en las versiones de Linux, UNIX y Windows del reproductor multimedia VLC, según lo afirmado por el investigador.

La vulnerabilidad permite la RCE (ejecución remota de código), lo que potencialmente permite a los hackers instalar, ejecutar y ejecutar código malicioso o modificar archivos/datos en máquinas objetivo sin el consentimiento del usuario. También podría usarse para divulgar archivos en el sistema anfitrión.

Se informa que la falla requiere que el usuario reproduzca un archivo de video MKV malicioso, que luego se dice que hace que el reproductor VLC se bloquee y se comprometa. CERT-Bund otorgó una puntuación base de vulnerabilidad de 9.8 de 10 en la Base de Datos Nacional de Vulnerabilidades del NIST.

Según el desarrollador principal de VLC, Jean-Baptiste Kempf, el error ha estado abierto en el sitio web de VideoLAN durante las últimas cuatro semanas. Sin embargo, el problema no es reproducible y no hace que una versión normal de VLC 3.0.7.1 se bloquee, agregó Kempf.

Francois Cartegnie de VideoLAN advierte:

Si llegas a este ticket a través de un artículo de noticias que afirma una falla crítica en VLC, te sugiero que leas el comentario anterior primero y reconsideres tus fuentes de noticias (falsas).

La cuenta de Twitter del equipo de VideoLAN también criticó al equipo CVE y a MITRE por compartir noticias sobre la vulnerabilidad:

Hey @MITREcorp y @CVEnew, el hecho de que NUNCA nos contacten por vulnerabilidades de VLC durante años antes de publicar no es realmente genial; pero al menos podrían verificar su información o comprobarse a sí mismos antes de enviar públicamente una vulnerabilidad de 9.8 CVSS… — VideoLAN (@videolan) 23 de julio de 2019

¿Incluso verificaron esto?
Nadie puede reproducir este problema aquí. — VideoLAN (@videolan) 23 de julio de 2019

Esta mañana, VideoLAN utilizó Twitter para aclarar que VLC no es vulnerable como lo informó CERT-Bund. Según los creadores de VLC, el problema estaba en una biblioteca de terceros llamada “libebml”, que se solucionó hace más de 16 meses. También agregó que VLC desde la versión 3.0.3 tiene la versión corregida, y la afirmación de MITRE se basó en una versión anterior desactualizada de VLC.

Sobre el