Actualització: Després de l'advertència de l'Oficina Federal de Seguretat de la Informació d'Alemanya (CERT-Bund) que el reproductor multimèdia VLC estaria patint una vulnerabilitat de nivell alt, l'organització francesa VideoLAN ha negat que existeixi tal risc per als seus usuaris, afirmant que el problema es va produir en una versió anterior de VLC i es va solucionar fa 16 mesos.
About the "security issue" on #VLC : VLC is not vulnerable.
— VideoLAN (@videolan) July 24, 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
Tot i que CERT-Bund ha corregit el risc de nivell alt a baix, altres institucions com el National Vulnerability Database (NVD) ha anunciat una modificació a costa d'un nou estudi de la seguretat de VLC: "Aquesta vulnerabilitat ha estat modificada a partir de l'últim anàlisi de NVD. Quedem a l'espera d'un reanàlisi que podria donar nous canvis en la informació proporcionada ".
(Fi actualització)
Són molts els usuaris que tenen al seu ordinador el reproductor multimèdia VLC, un dels més populars i valorats al món. La seva icona en forma de con d'obra és encara més coneguda que el seu nom i si és present als equips de milions de persones i d'empreses és perquè fa anys que demostra que les seves prestacions estan a l'altura dels millors.
El problema és que fa un temps s'ha descobert que té una vulnerabilitat que els experts han qualificat de crítica. Una porta oberta a la possibilitat que, aprofitant l'esmentada falta de seguretat, qualsevol persona amb prou coneixement podria provocar un dany considerable als qui tinguin VLC instal·lat a l'ordinador.
Aquest problema tan seriós ha estat anunciat per CERT-Bund, l'Oficina Federal de Seguretat de la Informació d'Alemanya, que ho ha fet saber tant a través d'un comunicat públic com mitjançant la tramesa d'un correu electrònic als seus subscriptors.
Al juny ja es va saber que la versió 3.0.6 del VLC Media Player i les anteriors a aquesta portaven un codi malintencionat a l'eina però l'advertència d'ara sobre la versió 3.0.7.1 per a Windows, Linux i UNIX és encara més important. El CERT-Bund ha classificat com a crítica la vulnerabilitat i li ha atorgat una avaluació de risc alta de nivell 4, el segon nivell d'advertència més alt pel que fa als forats de seguretat, segons l'escala de l'entitat germànica.
A diferència del cas descobert el juny de la versió 3.0.6, encara no han estat detectats casos en els quals la vulnerabilitat hagi estat aprofitada per cap ciberdelinqüent. Malgrat això, el que sembla clar és que la bretxa de seguretat permet que els possibles atacants remots passin inadvertits durant l'execució del codi maligne a l'ordinador de la víctima.
Segons assenyala l'informe, "un atacant anònim i remot pot explotar una vulnerabilitat en VLC per executar codi arbitrari, crear una denegació de servei, divulgar informació o manipular arxius".
De moment, per això és tan greu, encara no hi ha actualitzacions del programa VLC ni tampoc es té constància de quan estarà disponible una nova versió o un pedaç de seguretat. Per tot això, i fins a nou avís, el CERT-Bund recomana desinstal·lar-lo immediatament i recórrer a altres reproductors multimèdia, com ara Kodi o KMPlayer, que també són gratuïts i ofereixen bones prestacions.
Els usuaris d'ordinadors Mac poden estar tranquils, perquè les versions VLC per als dispositius de la marca Apple no s'han vist afectades per cap vulnerabilitat.