Suposta falha de segurança no VLC é falsa e não existe
25 Julho, 2019Infelizmente, não é incomum ouvir relatos sobre vulnerabilidades em softwares de código aberto. Essas falhas são relatadas sobre grandes e pequenos softwares, mas quanto mais popular a aplicação, maior é o ruído em torno desse assunto. Quando se trata de players de multimédia, provavelmente não há programa maior do que o VLC, e agora ele está no centro de um debate “ele disse, ela disse” sobre uma vulnerabilidade severa.
O VLC ganhou a sua fama por causa da sua omnipresença e universalidade, pois ele consegue reproduzir quase qualquer formato multimédia conhecido pela indústria. Ele também está disponível em quase todos os sistemas operativos, desktop ou dispositivos móveis, incluindo o Linux. Então, quando uma vulnerabilidade assustadora é encontrada numa aplicação desse estilo, as pessoas param, ouvem e preocupam-se.
A falha de segurança foi relatada por uma equipa de resposta a emergências de computadores da Alemanha (CERT-Bund) e apresenta uma imagem assustadora. Apenas com um ficheiro multimédia especialmente formatado (usando o contêiner MKV) poderia fazer uma série de coisas, desde bloquear o reprodutor multimédia, até manipular ficheiros no computador da vítima. A partir desse momento, o bug tem uma entrada CVSS (Common Vulnerability Scoring System), mas ainda não tem patch. Felizmente, também não há qualquer falha ativa, que seja conhecida.
Sim, a aplicação não tem a vulnerabilidade que diziam ter, ou pelo menos é o que o desenvolvedor do VLC VideoLAN parece estar a sugerir. Ele não apenas subestimou o rumor invocando tratar-se de “Fake News”, e até alega que não há falhas.
About the “security issue” on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) 24 de julho de 2019
Neste ponto, pode ser difícil para os utilizadores habituais colocarem fé em ambos os campos, já que ambos têm interesse em provar o seu ponto de vista. Mesmo os utilizadores que experimentaram a suposta exploração obtiveram resultados inconsistentes. Embora possa ser muito cedo para abandonar o barco, os utilizadores do VLC podem querer ter cuidado com os ficheiros, principalmente se adquiridos em fontes suspeitas na Internet.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.
