Actualización: Tras la advertencia de la Oficina Federal de Seguridad de la Información de Alemania (CERT-Bund) de que el reproductor multimedia VLC estaría sufriendo una vulnerabilidad de nivel alto, la organización francesa VideoLAN ha negado que exista tal riesgo para sus usuarios, afirmando que el problema se produjo en una versión anterior de VLC y se solucionó hace 16 meses.

A pesar de que CERT-Bund ha corregido el riesgo de nivel alto a bajo, otras instituciones como el National Vulnerability Database (NVD) ha anunciado una modificación a expensas de un nuevo estudio de la seguridad de VLC: “Esta vulnerabilidad ha sido modificada a partir del último análisis de NVD. Quedamos a la espera de un reanálisis que podría dar nuevos cambios en la información proporcionada”.

(Fin actualización)

Son muchos los usuarios que tienen en su ordenador el reproductor multimedia VLC, uno de los más populares y valorados en el mundo. Su icono en forma de cono de obra es aún más conocido que su nombre y si está presente en los equipos de millones de personas y empresas es porque lleva años demostrando que sus prestaciones están a la altura de los mejores.

El problema es que hace unas fechas se ha descubierto que cuenta con una vulnerabilidad que los expertos han calificado como de crítica. Una puerta abierta a la posibilidad de que aprovechándose de la citada brecha de seguridad, cualquier persona con el conocimiento suficiente podría aprovecharse del mismo para provocar un daño considerable a quienes tengan VLC instalado en su ordenador.

El serio problema ha sido anunciado por CERT-Bund, la Oficina Federal de Seguridad de la Información de Alemania, que lo ha comunicado tanto a través de un comunicado público, como mediante el envío de un correo electrónico a sus suscriptores.

Ya en junio, se supo que la versión 3.0.6 del VLC Media Player y las anteriores a esta llevaban un código malintencionado en la herramienta pero la advertencia de ahora sobre la versión 3.0.7.1 para Windows, Linux y UNIX es aún más importante. El CERT-Bund ha clasificado como crítica la vulnerabilidad y le ha otorgado una evaluación de riesgo alta de nivel 4, el segundo nivel de advertencia más alto en cuanto a los agujeros de seguridad según la escala de la entidad germana.

A diferencia del caso descubierto en junio para la versión 3.0.6, todavía no han sido detectados casos en los que la vulnerabilidad haya sido aprovechada por ningún ciberdelincuente. Pese a ello, lo que parece claro es que la brecha de seguridad permite que los posibles atacantes remotos pasen inadvertidos durante la ejecución de su código maligno en el ordenador de su víctima.

Según señala el informe, “un atacante anónimo y remoto puede explotar una vulnerabilidad en VLC para ejecutar código arbitrario, crear una denegación de servicio, divulgar información o manipular archivos”.

Por el momento, y de ahí su enorme gravedad, es que aún no hay actualizaciones del programa VLC ni tampoco se tiene constancia de cuándo estará disponible una nueva versión o un parche de seguridad, en su defecto. Por todo ello, y hasta nuevo aviso, el CERT-Bund recomienda desinstalarlo de inmediato y recurrir a otros reproductores multimedia, tales como Kodi o KMPlayer, asimismo gratuitos y que ofrecen buenas prestaciones.

Los usuarios de ordenadores Mac, sin embargo, pueden estar tranquilos porque las versiones VLC para los dispositivos de la marca Apple no se han visto afectadas por vulnerabilidad alguna.