Německý bezpečnostní tým CERT Bunt vydal varování před nebezpečnou chybou, kterou obsahuje nejnovější verze přehrávače VLC Media Player 3.0.7.1. Tato chyba je označována jako vysoce kritická a proto se až do vydání opravy nedoporučuje tento přehrávač používat. Multimediální přehrávač neziskové organizace VideoLAN je přitom velice populární. Používají ho desítky a až stovky milionů lidí na všech možných platformách.
Vývojáři VLC po vydání tohoto článku vydali sérii prohlášení, z nichž vyplývá, že o chyba není v jejich přehrávači. Více v článku „Přehrávač VLC je dle jeho tvůrce bezpečný, chyba je ve starší knihovně“.
Varování CERT Bunt se týkalo verzí pro Windows, Linux a Unix. Útočníci podle něj mohou zneužitím této chyby způsobit pád systému, či proniknout do počítače a manipulovat se soubory.
VideoLAN přitom zhruba před měsícem vydala velký balík oprav, který mimo jiné napravoval i bezpečnostní nedostatky, z nichž jeden umožnil, aby podstrčené upravené video ve formátu AVI nebo MKV dovolilo napadnout počítač.
Německý server Heise.de cituje své čtenáře z bezpečnostního fóra, že i v tomto případě je možné chybu zneužít prostřednictvím videa, tentokrát ve formátu MP4. Žádný jiný zdroj to však nepotvrzuje.
Je také zajímavé, že CERT Bunt patrně na chybu dopředu organizaci neupozornil, aby mohla opravu připravit včas. Alespoň to VideoLAN tvrdí na svém Twitteru.
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly...
Neziskovka tak nyní musí pracovat na opravě v době, když už může někdo vydané informace zneužít k útoku. Zatím však naštěstí nebyl zaznamenám žádný útok, který by chybu zneužíval. Jak jsme již uvedli, patrně nejde o chybu ve VLC.
Aktualizováno: doplnili jsme informace o reakci vývojáře a odkaz na text, kde se jí více věnujeme.
