autor: Konrad Hazi
VLC Player ma bug zagrażający bezpieczeństwu? Twórcy zaprzeczają
W programie VLC Player jakiś czas temu został wykryty błąd, który ma umożliwiać zawieszenie aplikacji lub nawet wykonywanie zdalnych skryptów przy wykorzystaniu odpowiednio spreparowanych plików wideo. Twórcy zaprzeczają i twierdzą, że błędu nie da się odtworzyć.
Sieć obiegła informacja sugerująca, że popularny odtwarzacz VLC Media Player posiada sporą lukę bezpieczeństwa. Ma ona pozwalać na wykorzystanie odpowiednio spreparowanego materiału wideo i zawieszenie odtwarzacza lub nawet wykonanie szkodliwego skryptu.
Twórcy nie widzą problemu
Zanim jednak zaczniemy usuwać program z naszych maszyn, zatrzymajmy się na chwilę i przyjrzyjmy sprawie bliżej. Błąd został zgłoszony już cztery tygodnie temu i uznany za krytyczny, jednak twórcy programu nie przejęli się nim za bardzo. Po pewnym czasie o sprawie zrobiło się głośno i swoje stanowisko przedstawił na forum Jean-Baptiste Kempf - główny deweloper VLC. Opublikował kilka postów:
To nie powoduje zawieszenia normalnego wydania VLC 3.0.7.1.
Jeśli znaleźliście to zgłoszenie po przeczytaniu newsa o krytycznym błędzie w VLC, to sugeruję przeczytanie powyższego wpisu i zastanowienie się nad swoim źródłem (fałszywych) informacji.
Wybaczcie, ale tego błędu nie da się odtworzyć i nie powoduje on zawieszenia się VLC.
Część dyskusji przeniosła się także na Twittera.
Jak żyć?
Można spróbować wywołać błąd na własną rękę, wykorzystując opublikowany na forum programu plik i sprawdzić, czy aplikacja postanowi się zawiesić. Nie odpowie to jednak na pytanie, czy jest ona odporna na wykonywanie zdalnych skryptów.
Postanowiliśmy sprawdzić w systemie Windows, co dzieje się przy próbie odtworzenia pliku z forum wykorzystując VLC w trzech wersjach: 3.0.6, 3.0.7 oraz 3.0.7.1. No i nie wydarzyło się nic podejrzanego. Problem pojawił się jedynie przy włączonym odtwarzaniu w pętli - wtedy aplikacja faktycznie zawieszała, chociaż tu powody mogą być różne. Ciekawe…
Problem ma dotyczyć wyłącznie wydań VLC na systemy Windows oraz Linux oraz plików w formacie .MKV. Kto ma rację - twórcy programu (VideoLAN), którzy umniejszają znaczenie doniesień, czy też specjaliści od bezpieczeństwa z niemieckiego zespołu Computer Emergency Response Team (CERT-Bund) - trudno powiedzieć. Warto jednak zadbać o to, by aktualizować program na bieżąco i nie odtwarzać plików pochodzących z nieznanych źródeł.