Não, não desinstale o VLC devido a um erro recente do VLC

Nos últimos dias, você deve ter visto alguns sites de tecnologia tocando alarmes e aconselhando a desinstalação do VLC devido a um bug. No entanto, os desenvolvedores do software acreditam que o bug do VLC com o qual todos estão tão aterrorizados não é grande coisa. Portanto, não recomendamos que você desinstale o VLC media player.

Todo esse drama em torno do VLC começou depois que o bug em questão recebeu uma pontuação do Sistema de pontuação de vulnerabilidade comum (CVSS) de 9,8 em 10, sugerindo uma vulnerabilidade “crítica”. O bug do VLC pode travar o player ou executar código remoto. O último é mais perigoso, pois poderia permitir que os invasores controlassem seu sistema.

De acordo com a equipe alemã de resposta a emergências de computadores (CERT-Bund), a agência que destacou o problema pela primeira vez, o bug requer a reprodução de um arquivo MKV malformado.

“Um atacante remoto e anônimo pode explorar a vulnerabilidade no VLC para executar código arbitrário, causar uma condição de negação de serviço, filtrar informações ou manipular arquivos”, disse o CERT-Bund.

Além disso, foi dito que esse bug, oficialmente marcado como CVE-2019-13615, não precisa de escalação de privilégios ou interação do usuário para explorar. Além disso, a publicação alemã Heise Online informou que um arquivo MP4 personalizado pode acionar o bug. No entanto, nem os pesquisadores nem o CERT-Bund confirmaram isso.

Isso significa que o seu VLC player poderá ficar comprometido se você baixar um arquivo MKV malicioso e executá-lo. Portanto, tudo o que você precisa fazer é ficar longe dos arquivos MKV ou não baixar arquivos MKV não confiáveis ​​até o VLC lançar um patch.

Os desenvolvedores de VLC não acreditam que a falha seja séria. De fato, os desenvolvedores dizem que nem conseguem reproduzir o problema e que nem sequer foram contatados antes da publicação dos detalhes sobre a falha.

“Desculpe, mas esse bug não é reproduzível e não trava o VLC”, disseram os desenvolvedores no rastreador de erros do VideoLAN.

O VideoLAN também foi ao Twitter para falar sobre o bug e repreender aqueles que fizeram o bug parecer pior do que é.

“..O fato de você nunca entrar em contato conosco para obter vulnerabilidades do VLC por anos antes de publicar não é muito legal; mas pelo menos você pode verificar suas informações ou verificar a si mesmo antes de enviar publicamente a vulnerabilidade 9.8 CVSS ”, afirmou o tweet da VideoLAN.

Você checou isso?
Ninguém pode reproduzir esse problema aqui.

– VideoLAN (@videolan) 23 de julho de 2019

Os comentários do VideoLAN devem ser um alívio para os usuários do VLC que ficaram confusos nos últimos dias sobre a desinstalação ou não do VLC. Ainda assim, seria melhor ficar longe de arquivos MKV não confiáveis ​​por um tempo. Se você quiser ter segurança extra, poderá mudar para outro media player até que uma correção seja liberada. Além disso, se você usa um Mac, não precisa se preocupar, pois o bug do VLC em questão afeta apenas o Windows, Unix e Linux.

Se você quiser ir mais fundo, pode baixar o vídeo de prova de conceito para descobrir se ele trava o VLC media player no seu sistema. De acordo com o The Register, ele travou o VLC versão 3.0.7, mas o Lifehacker diz que não observou problemas com o VLC versão 3.0.7.1. Deve-se observar que o vídeo de prova de conceito não informa se sua versão do VLC está protegida contra a execução remota de código ou não.

O VideoLAN corrigiu outro bug crítico no VLC media player no mês passado que poderia ter permitido a um hacker executar código arbitrário. O bug foi marcado como CVE-2019-12874 e teve uma pontuação CVSS de 9,8. Foi descoberto por Symeon Paraschoudis da Pen Test Partners.

O VideoLAN corrigiu a vulnerabilidade com a v3.0.7, que também corrige vários outros erros críticos, incluindo o estouro de buffer de heap. O problema de estouro de buffer de pilha foi marcado como CVE-2019-5439 e pode ser explorado usando um arquivo .avi criado. Este bug foi revelado pelo HackerOne através de um programa de recompensas de bug executado pela União Europeia. Para explorar a vulnerabilidade, um hacker teria que induzir o usuário a abrir um arquivo ou fluxo especialmente criado.

“O usuário deve abster-se de abrir arquivos de terceiros não confiáveis ​​ou acessar sites remotos não confiáveis ​​(ou desativar os plug-ins do navegador VLC) até que o patch seja aplicado”, recomendou o VideoLAN na época.

De acordo com Jean-Baptiste Kempf, da VideoLAN, a maioria das vulnerabilidades reveladas no mês passado veio à tona através do patrocínio de recompensas por bugs através do programa EU-FOSSA 2. O programa recompensa os hackers por descobrir falhas no software de código aberto usado pelas organizações da UE.

No entanto, Kempf admite que ele não é a favor de recompensas por insetos, porque eles apenas incentivam os pesquisadores a descobrir falhas e a não encontrar soluções para elas.

“E você dá dinheiro ao VLC em vez de hackers aleatórios?” Kempf disse.

Essas vulnerabilidades recentes destacam a natureza complexa dos players de mídia, que devem suportar vários formatos de arquivo, codecs e renderizadores de texto. Quanto mais formatos eles suportam, maiores as chances de eles terem falhas de segurança abertas.