O VLC media player é vulnerável a hackers?

O VLC Media Player tem ‘problema de segurança crítico’, VideoLAN diz que falha de segurança foi corrigida

O VLC Media Player, um popular reprodutor de mídia multiplataforma, possui uma vulnerabilidade crítica que permite que hackers sequestram seus computadores e vejam seus arquivos, afirmou um pesquisador de segurança.

Relacionado - 5 Melhores Alternativas ao VLC Media Player

A falha de segurança CVE-2019-13615, considerada “crítica”, foi identificada pela equipe nacional de Resposta a Emergências de Computadores da Alemanha (CERT Bund). A vulnerabilidade afeta a versão 3.0.7.1 nas versões Linux, UNIX e Windows do VLC media player, conforme afirmado pelo pesquisador.

A vulnerabilidade permite RCE (execução remota de código), o que potencialmente permite que hackers instalem, executem e executem código malicioso ou modifiquem arquivos/dados em máquinas-alvo sem o consentimento do usuário. Também poderia ser usada para divulgar arquivos no sistema host.

A falha supostamente requer que o usuário reproduza um arquivo de vídeo MKV malicioso, que então diz-se que trava e compromete o reprodutor VLC. O CERT-Bund deu uma pontuação base de vulnerabilidade de 9.8 em 10 no Banco Nacional de Vulnerabilidades do NIST.

De acordo com o desenvolvedor principal do VLC, Jean-Baptiste Kempf, o bug está aberto no site do VideoLAN há quatro semanas. No entanto, o problema não é reproduzível e não trava uma versão normal do VLC 3.0.7.1, acrescentou Kempf.

Francois Cartegnie do VideoLAN alerta:

Se você chegou a este ticket através de um artigo de notícias afirmando uma falha crítica no VLC, sugiro que leia o comentário acima primeiro e reconsidere suas fontes de notícias (falsas).

A conta do Twitter da equipe VideoLAN também criticou a equipe CVE e a MITRE por compartilhar notícias sobre a vulnerabilidade:

Ei @MITREcorp e @CVEnew, o fato de que vocês NUNCA nos contatam sobre vulnerabilidades do VLC há anos antes de publicar não é legal; mas pelo menos vocês poderiam verificar suas informações ou se verificar antes de enviar publicamente uma vulnerabilidade de 9.8 CVSS… — VideoLAN (@videolan) 23 de julho de 2019

Você chegou a verificar isso?
Ninguém consegue reproduzir esse problema aqui. — VideoLAN (@videolan) 23 de julho de 2019

Mais cedo esta manhã, o VideoLAN usou o Twitter para esclarecer que o VLC não é vulnerável, como relatado pelo CERT-Bund. De acordo com os criadores do VLC, o problema estava em uma biblioteca de terceiros chamada “libebml”, que foi corrigida há mais de 16 meses. Também acrescentou que o VLC desde a versão 3.0.3 possui a versão corrigida, e a alegação da MITRE foi baseada em uma versão anterior desatualizada do VLC.

Sobre o