Aktualizováno:
Ukázalo se, že se němečtí experti z CERT-Bund (státní organizace pro kybernetickou bezpečnost) dopustili větší chyby, než tvůrci programu VLC. Ten je podle všeho bezpečný a není nijak zranitelný. Jak se zpětně ukázalo, bezpečnostní „experti“ používali staré systémové knihovny. Více se dozvíte v aktuálním článku:
Německá bezpečnostní organizace CERT-Bund našla vážnou bezpečnostní chybu v multimediálním přehrávači VLC Player. Problém se týká aplikací pro operační systémy Windows, Linux i UNIX (verze pro macOS se údajně netýká) a umožňuje hackerům získat přístup a upravovat data na postižených zařízeních.
Podle odborníků není zatím zjištěný bezpečnostní nedostatek aktivně zneužíván k útokům, nicméně lze předpokládat, že po jeho publikaci se tak dříve či později stane. Nově objevená chyba, zapsaná v databázi NVE jako CVE-2019-13615, se vyskytuje v nejnovější verzi aplikace VLC Media Player s číslem 3.0.7.1.
Otevřené dveře pro hackery
Chyba byla nahlášena vývojářům před čtyřmi týdny a ačkoli má nastavenou nejvyšší prioritu a kritickou důležitost, podle tiketu zatím nebyly zahájeny práce, vedoucí k jejímu odstranění. V národní databázi chyb zabezpečení NIST je hodnocena známkou 9,8, což znamená „kritické“ nebezpečí, zatímco CERT-Bund ji hodnotí jako „velmi nebezpečnou“, což je druhá nejvyšší úroveň.
VLC Media Player je oblíbený přehrávač médií, vyznačující se širokou podporou multimediálních formátů. I proto se může pochlubit působivým počtem stažení překračujícím tři miliardy, což tuto zranitelnost činí ještě nebezpečnější.
Nebezpečí spočívá v tom, že vzdálený útočník může odhalenou zranitelnost v přehrávači zneužít k provedení prakticky jakéhokoli kódu, útoku typu Denial of Service (DoS), k získání informací nebo manipulaci se soubory.
Řešení zatím v nedohlednu
Přes stav tiketu údajně vývojáři z neziskové organizace VideoLAN, která stojí za VLC Playerem, celou dobu pracují na opravě. Ta je zatím hotová zhruba ze 60 %, nicméně konkrétní termín vydání opravené verze zatím nebyl publikován.
Jistým paradoxem je, že v červnu byla vydána největší aktualizace zabezpečení přehrávače VLC Media Player v historii tohoto programu. Zahrnovala opravy celkem 33 zranitelností, z nichž dvě byly označeny jako kritické, 21 jako středně závažných a 10 bylo hodnocených jako nízké riziko.
Až do vydání opravy bezpečnostní experti doporučují používat místo VLC Media Playeru nějakou bezpečnější alternativu. Možností je celá řada – doporučit můžeme například MPC-HC, KMPlayer či Kodi.