Nincs kritikus hiba a VLC Playerben

Az elmúlt napokban bejárta a techsajtót a hír, hogy az Egyesült Államok több kutatási és fejlesztési programján keresztül pénzelt MITRE nonprofit kritikus sebezhetőséget talált a VLC Playerben. A problléma leírása szerint a támadó fél egy különleges videofájl lejátszatásával távoli kódfuttatást érhet el az áldozat PC-jén.

Az efféle beszámolók megjelenése után az szokott történni, hogy a fejlesztők rohamtempóban kijavítják a sebezhetőséget, és reménykednek benne, hogy a felhasználók minél gyorsabban frissítenek a szoftverük legújabb változatára. Rendhagyó módon most nem ez történt, a VLC fejlesztői ugyanis nem tudták reprodukálni a szoftver aktuális (3.0.7.1) verziójában a hibát.

Végül kiderült, hogy a többek közt a VLC által is használt libebml függvénykönyvtár egy régi verziójában volt a gond, de ezt a hibát tavaly áprilisban javították a fejlesztői. A VLC Player a 3.0.3-as verzió óta, azaz bő egy éve a komponens javított változatát használja, így a MITRE által beküldött, az USA sérülékenységeket számon tartó rendszerétől a CVE-2019-13615 azonosítót kapott hibajelentés alaptalan.

Másrészt viszont valaki négy hete készített a sebezhetőségről egy hibajelentést a médialejátszó hibakövető rendszerében, de három nappal ezelőttig a VLC részéről érdemben senki sem foglalkozott vele. A sebezhetőségeket alapvetően nem a VLC normál hibakövető rendszerébe kell beküldeni, hanem egy dedikált e-mail-címen kell felvenni a kapcsolatot a fejlesztőkkel. A hibajegyet nyitott személy azt állítja, hogy ezt megtette, azonban senki nem reagált a levelére, ezért küldte be végül a nyilvános hibakövető rendszerbe az állítólagos hibát.

Úgy tűnik, hogy nem csak a MITRE-nél vannak gondok, de a VLC fejlesztői sincsenek a helyzet magaslatán: még ha tényleg nem is kaptak e-mailt,

Ha szeretne még több érdekes techhírt olvasni, akkor kövesse az Origo Techbázis Facebook-oldalát, kattintson ide!