La semaine dernière (
news ), une vulnérabilité grave a été largement discutée dans le populaire lecteur multimédia VLC. Des informations sur le problème ont été ajoutées au registre du
Bund allemand
CERT et de la base de données
nationale américaine sur
la vulnérabilité . Initialement, la vulnérabilité CVE-2019-13615 a reçu une note de 9,8, c'est-à-dire qu'elle a été classée comme la plus dangereuse.
Le problème est dû à une erreur de lecture au-delà des limites du tampon dans le tas qui peut se produire lors de la lecture d'une vidéo. Si cela est expliqué en termes plus humains, vous pouvez envoyer le fichier .mkv préparé à la victime et prendre le contrôle du système par l'exécution de code arbitraire. Cette actualité est une bonne raison de parler de problèmes dans le logiciel qui, semble-t-il, ne présentent pas de risques sérieux pour votre ordinateur. Mais pas cette fois: apparemment, le chercheur qui a signalé la vulnérabilité a fait une erreur et a attribué la dernière version de VLC à un problème qui existait exclusivement dans sa distribution Linux. Par conséquent, l'article d'aujourd'hui est consacré aux titres incompréhensibles et sensationnels.
Tout a commencé il y a cinq semaines avec
ce ticket dans le traqueur de bogues VLC. L'utilisateur topsec (zhangwy) sans autre description a téléchargé le fichier .mp4, ce qui provoque le crash du lecteur. Là, ce message est resté sans attention pendant un certain temps, tandis que des informations sur la vulnérabilité (personne ne sait laquelle) sont entrées dans les bases de données NIST NVD et CERT Bund. Après cela, les développeurs ont examiné le rapport de bogue - et n'ont pas pu reproduire l'attaque de la dernière version du lecteur multimédia.
Pendant ce temps, les médias ont écrit sur la vulnérabilité en référence au CERT Bund, et
personne n'a été gêné par les gros titres. Supprimer VLC maintenant! Une vulnérabilité terrible pour laquelle il n'y a pas de patch!
Tout va très mal ! En général, les grandes organisations qui gèrent un registre des vulnérabilités des logiciels sont généralement fiables. Mais dans ce cas, le processus normal de détection d'un problème et de recherche d'une solution a été interrompu.
Ce qui s'est exactement passé, les développeurs de VideoLan ont déclaré dans une série de tweets dans le compte officiel (nous recommandons de lire le
fil entier, les développeurs étaient très en colère et ne se sont pas embarrassés dans les expressions). Pour commencer, VLC
demande instamment aux chercheurs de ne pas signaler les vulnérabilités au tracker public. Pour des raisons évidentes: si un problème vraiment grave est découvert, les développeurs devraient avoir le temps de le résoudre. Le rapport initial de bogue utilisateur topsec est entré dans la partie publique du tracker.
Deuxièmement, l'initiateur du rapport de bug n'est pas entré en contact lorsqu'ils ont essayé de clarifier les détails avec lui. Troisièmement, les responsables de la base NIST NVD ont ajouté des informations sur les vulnérabilités et attribué une cote de danger presque maximale sans consulter les développeurs VLC. Le CERT Bund a fait de même, après quoi les médias ont repris le sujet.
Y avait-il une vulnérabilité? Ça l'était! Dans la bibliothèque
libebml , qui fait partie du projet open source
Matroska.org . VLC accède à cette bibliothèque lors de l'analyse des fichiers MKV, mais les vulnérabilités utilisées dans l'exploit ont été fermées dans la version 1.3.6 en avril 2018. À partir de la version 3.0.3, VLC lui-même utilise une bibliothèque mise à jour. Il a fallu une combinaison très rare du système Ubuntu relativement ancien et apparemment non mis à jour avec l'ancienne bibliothèque libebml et le nouveau lecteur pour implémenter l'attaque. Il est clair qu'une telle configuration est peu probable pour les utilisateurs ordinaires, et VLC n'a de toute façon rien à voir avec cela - depuis plus d'un an maintenant.
Le dernier message de l'auteur du rapport de bug d'origine ressemble à ceci: "Vous êtes désolé, si cela." Mais la vraie vulnérabilité avec des propriétés similaires a été corrigée dans la version
actuelle VLC 3.0.7 au moment de la publication du résumé. Il était également contenu dans la bibliothèque ouverte utilisée par VLC et a conduit à l'exécution de code arbitraire lors de l'ouverture du fichier préparé. Il a été découvert grâce à l'
initiative de l' Union européenne pour récompenser les vulnérabilités des projets open source populaires (et utilisés par les agences gouvernementales). En plus de VLC, Notepad ++, Putty et FileZilla ont été inclus dans la liste des logiciels.
En général, la sécurité est plus un processus qu'un résultat. La qualité de ce processus n'est pas déterminée par les gros titres médiatiques, mais, dans le cas de votre ordinateur personnel, par des mises à jour logicielles au moins régulières. Les problèmes peuvent être n'importe où, et le fait que la vulnérabilité VLC se soit révélée être fausse n'élimine pas la nécessité de mettre à jour constamment les programmes. Même ceux qui semblent fonctionner ainsi et qui ne sont pas perçus comme dangereux. Il s'agit, par exemple, de l'archiveur WinRAR, dans lequel une
vulnérabilité critique très ancienne a
été découverte il y a quelques mois. La désactivation des rappels de mise à jour VLC ne vaut pas la peine, bien que beaucoup le fassent. Une étude Avast relativement récente en janvier de cette année a
montré que seulement 6% des utilisateurs avaient la version actuelle de VLC installée à ce moment-là.
Les développeurs de VLC, en principe, n'aiment pas la pratique lorsque des vulnérabilités avec l'exécution de code arbitraire se voient attribuer la cote de danger maximale. Dans la plupart des cas, le fonctionnement réel d'un tel trou est difficile: il est nécessaire que la victime envoie le fichier nécessaire (ou un lien vers la vidéo en streaming), et le force à s'ouvrir, et provoque non seulement le crash du programme, mais l'exécution du code, et même avec les privilèges nécessaires, qui ne sont pas le fait que peut obtenir. Il s'agit d'une version théorique intéressante d'une attaque ciblée, mais jusqu'ici peu probable.
Avertissement: Les opinions exprimées dans ce résumé peuvent ne pas coïncider avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.