La semana pasada (
noticias ), una vulnerabilidad grave se discutió ampliamente en el popular reproductor multimedia VLC. Se agregó información sobre el problema al registro del
CERT Bund alemán y la
Base de datos de vulnerabilidad nacional de EE. UU. Inicialmente, la vulnerabilidad CVE-2019-13615 recibió una calificación de 9.8, es decir, se clasificó como la más peligrosa.
El problema se debe a un error de lectura más allá de los límites del búfer en el montón que puede ocurrir al reproducir un video. Si se explica en términos más humanos, puede enviar el archivo .mkv preparado a la víctima y obtener el control del sistema mediante la ejecución de código arbitrario. Esta noticia es una buena razón para hablar sobre problemas en el software, que, al parecer, no plantea riesgos graves para su computadora. Pero no esta vez: aparentemente, el investigador que informó la vulnerabilidad cometió un error y atribuyó la última versión de VLC a un problema que existía exclusivamente en su distribución de Linux. Por lo tanto, el post de hoy está dedicado a malentendidos y titulares sensacionales.
Todo comenzó hace cinco semanas con
este ticket en el rastreador de errores VLC. El usuario topsec (zhangwy) sin una descripción adicional cargó el archivo .mp4, lo que hace que el reproductor se bloquee. Allí, este mensaje permaneció desatendido durante un tiempo, mientras que la información sobre la vulnerabilidad de alguna manera (nadie sabe cómo) entró en las bases de datos NIST NVD y CERT Bund. Después de eso, los desarrolladores observaron el informe de error y no pudieron reproducir el ataque en la última versión del reproductor multimedia.
Mientras tanto, los medios escribieron sobre la vulnerabilidad con referencia al CERT Bund, y
nadie fue tímido con los titulares
allí . ¡Eliminar VLC ahora! ¡Una vulnerabilidad terrible para la que no hay parche!
¡Todo está muy mal ! En general, generalmente se confía en las grandes organizaciones que mantienen un registro de vulnerabilidades en el software. Pero en este caso, se interrumpió el proceso normal de detectar un problema y encontrar una solución.
Lo que salió mal exactamente, dijeron los desarrolladores de VideoLan en una serie de tweets en la cuenta oficial (le recomendamos que lea todo el
hilo , los desarrolladores estaban muy enojados y no se avergonzaron en sus expresiones). Para empezar, VLC
pide urgentemente
a los investigadores que no informen vulnerabilidades al rastreador público. Por razones obvias: si se descubre un problema realmente grave, los desarrolladores deberían tener tiempo para solucionarlo. El informe de error del usuario topsec inicial se introdujo en la parte pública del rastreador.
En segundo lugar, el iniciador del informe de errores no se puso en contacto cuando intentaron aclarar detalles con él. En tercer lugar, los mantenedores de la base NIST NVD agregaron información de vulnerabilidad y asignaron una clasificación de peligro casi máxima sin consultar a los desarrolladores de VLC. El CERT Bund hizo lo mismo, luego de lo cual los medios retomaron el tema.
¿Hubo una vulnerabilidad? Fue! En la biblioteca
libebml , que forma parte del proyecto de código abierto
Matroska.org . VLC accede a esta biblioteca al analizar archivos MKV, pero las vulnerabilidades utilizadas en el exploit se cerraron en la versión 1.3.6 en abril de 2018. A partir de la versión 3.0.3, VLC utiliza una biblioteca actualizada. Se necesitó una combinación muy rara del sistema Ubuntu relativamente antiguo y aparentemente no actualizable con la antigua biblioteca libebml y el nuevo reproductor para implementar el ataque. Está claro que tal configuración es poco probable para los usuarios comunes, y VLC no tiene nada que ver con eso de todos modos, desde hace más de un año.
El último mensaje del autor del informe de error original se ve así: "Lo siento, si es así". Pero la vulnerabilidad real con propiedades similares se cerró en la versión
real VLC 3.0.7 en el momento de la publicación del resumen. También estaba contenido en la biblioteca abierta utilizada por VLC, y condujo a la ejecución de código arbitrario al abrir el archivo preparado. Fue descubierto gracias a la
iniciativa de la Unión Europea para recompensar las vulnerabilidades en proyectos de código abierto populares (y utilizados por agencias gubernamentales). Además de VLC, Notepad ++, Putty y FileZilla se incluyeron en la lista de software.
En general, la seguridad es más un proceso que un resultado. La calidad de este proceso no está determinada por los titulares de alto perfil en los medios, sino, en el caso de su computadora personal, por al menos actualizaciones de software regulares. Los problemas pueden estar en cualquier parte, y el hecho de que la vulnerabilidad de VLC resultó ser falsa no elimina la necesidad de actualizar constantemente los programas. Incluso aquellos que parecen funcionar así y no son percibidos como peligrosos. Estos incluyen, por ejemplo, el archivador WinRAR, en el que
se encontró una
vulnerabilidad crítica muy antigua hace unos meses. Desactivar los recordatorios de actualización de VLC tampoco vale la pena, aunque muchos lo hacen. Un estudio relativamente reciente de Avast en enero de este año
mostró que solo el 6% de los usuarios tenían instalada la versión actual de VLC en ese momento.
A los desarrolladores de VLC, en principio, no les gusta la práctica cuando a las vulnerabilidades con la ejecución de código arbitrario se les asigna la clasificación de peligro máxima. En la mayoría de los casos, la operación real de un agujero de este tipo es difícil: es necesario que la víctima envíe el archivo necesario (o un enlace al video en tiempo real), y lo obligue a abrir, y no solo provoque el bloqueo del programa, sino también la ejecución del código, e incluso con los privilegios necesarios, que no son el hecho de que puede obtener. Esta es una versión teórica interesante de un ataque dirigido, pero hasta ahora poco probable.
Descargo de responsabilidad: las opiniones expresadas en este resumen pueden no coincidir con la posición oficial de Kaspersky Lab. Los estimados editores generalmente recomiendan tratar cualquier opinión con escepticismo saludable.