VLC media player è vulnerabile agli hacker?

VLC Media Player ha un ‘problema di sicurezza critico’, VideoLAN afferma che la vulnerabilità è stata risolta

VLC Media Player, un popolare lettore multimediale multipiattaforma, ha una vulnerabilità critica che consente agli hacker di prendere il controllo dei tuoi computer e vedere i tuoi file, ha affermato un ricercatore di sicurezza.

Correlato - 5 migliori alternative a VLC Media Player

La vulnerabilità di sicurezza CVE-2019-13615 definita come “critica” è stata identificata dal Computer Emergency Response Team (CERT Bund) nazionale della Germania. La vulnerabilità colpisce la versione 3.0.7.1 nelle versioni Linux, UNIX e Windows di VLC media player, come affermato dal ricercatore.

La vulnerabilità consente l’RCE (esecuzione di codice remoto) che potenzialmente consente agli hacker di installare, eseguire ed eseguire codice dannoso o modificare file/dati sui computer target senza il consenso dell’utente. Potrebbe anche essere utilizzata per divulgare file sul sistema host.

Il difetto richiede presumibilmente che l’utente riproduca un file video MKV dannoso, che si dice poi faccia crash e comprometta il lettore VLC. CERT-Bund ha dato un punteggio di vulnerabilità di base di 9.8 su 10 nel National Vulnerability Database del NIST.

Secondo il principale sviluppatore di VLC, Jean-Baptiste Kempf, il bug è stato aperto sul sito web di VideoLAN per le ultime quattro settimane. Tuttavia, il problema non è riproducibile e non fa crash di una normale versione di VLC 3.0.7.1, ha aggiunto Kempf.

Francois Cartegnie di VideoLAN avverte:

Se sei arrivato a questo ticket tramite un articolo di notizie che afferma un difetto critico in VLC, ti consiglio di leggere prima il commento sopra e riconsiderare le tue fonti di notizie (false).

L’account Twitter del team di VideoLAN ha anche criticato il team CVE e MITRE per aver condiviso notizie sulla vulnerabilità:

Hey @MITREcorp e @CVEnew, il fatto che non ci contattiate MAI per le vulnerabilità di VLC per anni prima di pubblicare non è affatto cool; ma almeno potreste controllare le vostre informazioni o controllarvi prima di inviare pubblicamente una vulnerabilità di 9.8 CVSS… — VideoLAN (@videolan) 23 luglio 2019

Hai anche controllato questo?
Nessuno può riprodurre questo problema qui. — VideoLAN (@videolan) 23 luglio 2019

Questa mattina, VideoLAN ha utilizzato Twitter per chiarire che VLC non è vulnerabile come riportato da CERT-Bund. Secondo i creatori di VLC, il problema era in una libreria di terze parti chiamata “libebml”, che è stata risolta più di 16 mesi fa. Ha anche aggiunto che VLC dalla versione 3.0.3 ha la versione corretta, e la rivendicazione di MITRE si basava su una versione precedente obsoleta di VLC.

Riguardo al