futurebeat.pl News Tech Mobile Gaming Nauka Moto Rozrywka Promocje
Wiadomość sprzęt i soft 24 lipca 2019, 12:12

autor: Konrad Hazi

VLC Player ma bug zagrażający bezpieczeństwu? Twórcy zaprzeczają

W programie VLC Player jakiś czas temu został wykryty błąd, który ma umożliwiać zawieszenie aplikacji lub nawet wykonywanie zdalnych skryptów przy wykorzystaniu odpowiednio spreparowanych plików wideo. Twórcy zaprzeczają i twierdzą, że błędu nie da się odtworzyć.

Szukanie dziury w całym? - VLC Player ma bug zagrażający bezpieczeństwu? Twórcy zaprzeczają - wiadomość - 2019-07-24
Szukanie dziury w całym?

Sieć obiegła informacja sugerująca, że popularny odtwarzacz VLC Media Player posiada sporą lukę bezpieczeństwa. Ma ona pozwalać na wykorzystanie odpowiednio spreparowanego materiału wideo i zawieszenie odtwarzacza lub nawet wykonanie szkodliwego skryptu.

Twórcy nie widzą problemu

Zanim jednak zaczniemy usuwać program z naszych maszyn, zatrzymajmy się na chwilę i przyjrzyjmy sprawie bliżej. Błąd został zgłoszony już cztery tygodnie temu i uznany za krytyczny, jednak twórcy programu nie przejęli się nim za bardzo. Po pewnym czasie o sprawie zrobiło się głośno i swoje stanowisko przedstawił na forum Jean-Baptiste Kempf - główny deweloper VLC. Opublikował kilka postów:

To nie powoduje zawieszenia normalnego wydania VLC 3.0.7.1.

Jeśli znaleźliście to zgłoszenie po przeczytaniu newsa o krytycznym błędzie w VLC, to sugeruję przeczytanie powyższego wpisu i zastanowienie się nad swoim źródłem (fałszywych) informacji.

Wybaczcie, ale tego błędu nie da się odtworzyć i nie powoduje on zawieszenia się VLC.

Część dyskusji przeniosła się także na Twittera.

Jak żyć?

Można spróbować wywołać błąd na własną rękę, wykorzystując opublikowany na forum programu plik i sprawdzić, czy aplikacja postanowi się zawiesić. Nie odpowie to jednak na pytanie, czy jest ona odporna na wykonywanie zdalnych skryptów.

Postanowiliśmy sprawdzić w systemie Windows, co dzieje się przy próbie odtworzenia pliku z forum wykorzystując VLC w trzech wersjach: 3.0.6, 3.0.7 oraz 3.0.7.1. No i nie wydarzyło się nic podejrzanego. Problem pojawił się jedynie przy włączonym odtwarzaniu w pętli - wtedy aplikacja faktycznie zawieszała, chociaż tu powody mogą być różne. Ciekawe…

Problem ma dotyczyć wyłącznie wydań VLC na systemy Windows oraz Linux oraz plików w formacie .MKV. Kto ma rację - twórcy programu (VideoLAN), którzy umniejszają znaczenie doniesień, czy też specjaliści od bezpieczeństwa z niemieckiego zespołu Computer Emergency Response Team (CERT-Bund) - trudno powiedzieć. Warto jednak zadbać o to, by aktualizować program na bieżąco i nie odtwarzać plików pochodzących z nieznanych źródeł.