VLC Video Player relatório de bug de segurança está aquecendo a Internet

Não é incomum ouvir relatos de vulnerabilidades em software de código aberto e fechado. Esses erros são relatados contra softwares grandes e pequenos, mas quanto mais popular o programa, maior o ruído. Quando se trata de players de multimídia, provavelmente não há programa maior que o VLC e agora ele está no centro de um tipo de debate "ele disse, ela disse" sobre uma vulnerabilidade severa relatada.

O VLC ganhou fama por sua onipresença e universalidade. Poderia reproduzir quase qualquer formato multimídia conhecido pela indústria. Ele também está disponível em quase todos os sistemas operacionais, desktop ou dispositivos móveis, incluindo o Linux. Então, quando uma vulnerabilidade assustadora é relatada contra ela, as pessoas param, ouvem e se preocupam.

A falha de segurança foi relatada pela equipe nacional de resposta a emergências de computadores da Alemanha (CERT-Bund) e mostra uma imagem assustadora. Apenas com um arquivo de mídia especialmente formatado (usando o contêiner MKV) poderia fazer uma série de coisas, desde travar o reprodutor de mídia até manipular arquivos no computador da vítima. A partir do momento, o bug tem uma entrada CVSS (Common Vulnerability Scoring System), mas ainda não tem patch. Felizmente, também não há exploração ativa conhecida.

Parte disso pode ser porque não há vulnerabilidade, ou pelo menos é isso que o desenvolvedor do VLC VideoLAN parece estar sugerindo. Ele não apenas subestimou o relatório como “notícia falsa”, mas até alega que não há falhas.

Neste ponto, pode ser difícil para os usuários regulares acreditarem em qualquer um dos dois lados que ambos tenham interesse em provar seu ponto de vista. Mesmo os usuários que experimentaram a suposta exploração obtiveram resultados inconsistentes. Embora possa ser muito cedo para abandonar o barco, os usuários do VLC podem querer ter cuidado com os arquivos, principalmente se adquiridos de fontes suspeitas na Internet.

Via: Slash Gear