Уязвим ли медиаплеер VLC для хакеров?

У медиаплеера VLC есть «критическая проблема безопасности», VideoLAN сообщает, что уязвимость исправлена

Медиаплеер VLC, популярный многоплатформенный медиаплеер, имеет критическую уязвимость, которая позволяет хакерам захватывать ваши компьютеры и видеть ваши файлы, утверждает исследователь безопасности.

Связано - 5 лучших альтернатив медиаплееру VLC

Уязвимость CVE-2019-13615, названная «критической», была выявлена национальной командой реагирования на компьютерные инциденты Германии (CERT Bund). Уязвимость затрагивает версию 3.0.7.1 в версиях VLC для Linux, UNIX и Windows, как утверждает исследователь.

Уязвимость позволяет выполнять удаленный код (RCE), что потенциально позволяет хакерам устанавливать, запускать и выполнять вредоносный код или изменять файлы/данные на целевых машинах без согласия пользователя. Она также может быть использована для раскрытия файлов на хост-системе.

Сообщается, что для эксплуатации уязвимости пользователю необходимо воспроизвести вредоносный видеофайл MKV, который затем, как утверждается, вызывает сбой и компрометирует медиаплеер VLC. CERT-Bund присвоил базовый балл уязвимости 9.8 из 10 в Национальной базе данных уязвимостей NIST.

Согласно словам ведущего разработчика VLC Жана-Батиста Кемпа, ошибка была открыта на сайте VideoLAN в течение последних четырех недель. Однако проблема не воспроизводится и не вызывает сбой нормальной версии VLC 3.0.7.1, добавил Кемп.

Франсуа Картеньи из VideoLAN предупреждает:

Если вы попали на этот тикет через новостную статью, утверждающую о критической уязвимости в VLC, я предлагаю вам сначала прочитать вышеуказанный комментарий и пересмотреть свои (фальшивые) источники новостей.

Твиттер-аккаунт команды VideoLAN также раскритиковал команду CVE и MITRE за распространение новостей об уязвимости:

Привет @MITREcorp и @CVEnew, тот факт, что вы НИКОГДА не связывались с нами по уязвимостям VLC в течение многих лет перед публикацией, действительно не круто; но, по крайней мере, вы могли бы проверить свою информацию или проверить себя перед тем, как публично отправлять уязвимость 9.8 CVSS… — VideoLAN (@videolan) 23 июля 2019

Вы вообще проверяли это?
Никто не может воспроизвести эту проблему здесь. — VideoLAN (@videolan) 23 июля 2019

Сегодня утром VideoLAN обратилась в Twitter, чтобы уточнить, что VLC не уязвим, как сообщалось CERT-Bund. Согласно создателям VLC, проблема была в сторонней библиотеке под названием «libebml», которая была исправлена более 16 месяцев назад. Также было добавлено, что VLC с версии 3.0.3 имеет исправленную версию, а утверждение MITRE основано на предыдущей устаревшей версии VLC.

О «проблеме безопасности» в #VLC: VLC не уязвим.
tl;dr: проблема в сторонней библиотеке, называемой libebml, которая была исправлена более 16 месяцев назад.
VLC с версии 3.0.3 имеет правильную версию, и @MITREcorp даже не проверили свое утверждение. Тема: — VideoLAN (@videolan) 24 июля 2019

Проблема с VLC теперь была понижена с 9.8 до 5.5 по шкале уязвимости в Национальной базе данных уязвимостей, указывая, что «жертва должна добровольно взаимодействовать с механизмом атаки». Связанная запись в публичном трекере ошибок VideoLAN также указывает, что проблема исправлена.

Реагируя на прессу, которая утверждала, что медиаплеер VLC уязвим, Кемп сказал: «Это безумие. Люди говорят: «Вам нужно удалить VLC». Это обычные люди, которые не проверяют свои факты.»

СВЯЗАНО: 10 лучших бесплатных медиаплееров для Windows 10

Другими словами, нет необходимости удалять медиаплеер VLC, так как VideoLAN уже выпустила патч для исправления уязвимости. Однако рекомендуется всегда регулярно обновлять программное обеспечение. Кроме того, избегайте воспроизведения ненадежного файла формата MKV в медиаплеере. Текущая версия VLC - 3.0.7.1.