Pekan lalu (
berita ), kerentanan serius dibahas secara luas di pemutar media VLC yang populer. Informasi tentang masalah ditambahkan ke registri
CERT Bund Jerman dan
Basis Data Kerentanan Nasional AS. Awalnya, kerentanan CVE-2019-13615 menerima peringkat 9,8, yang diklasifikasikan sebagai yang paling berbahaya.
Masalahnya adalah karena kesalahan baca di luar batas buffer di heap yang mungkin terjadi saat memutar video. Jika dijelaskan dalam istilah yang lebih manusiawi, Anda dapat mengirim file .mkv yang disiapkan kepada korban dan mendapatkan kendali sistem melalui eksekusi kode arbitrer. Berita ini adalah alasan yang bagus untuk membicarakan masalah dalam perangkat lunak, yang, tampaknya, tidak menimbulkan risiko serius bagi komputer Anda. Tapi tidak kali ini: tampaknya, peneliti yang melaporkan kerentanan melakukan kesalahan dan menghubungkan versi terbaru VLC dengan masalah yang ada secara eksklusif dalam distribusi Linux-nya. Oleh karena itu, posting hari ini dikhususkan untuk berita utama kesalahpahaman dan sensasional.
Semuanya dimulai lima minggu lalu dengan
tiket ini di pelacak bug VLC. Pengguna topsec (zhangwy) tanpa penjelasan lebih lanjut mengunggah file .mp4, yang menyebabkan pemain mogok. Di sana, pesan ini terbentang tanpa perhatian untuk sementara waktu, sementara informasi tentang kerentanannya entah bagaimana (tidak ada yang tahu yang mana) masuk ke dalam database NIST NVD dan CERT Bund. Setelah itu, para pengembang melihat laporan bug - dan tidak dapat mereproduksi serangan pada versi terbaru dari pemutar media.
Sementara itu, media menulis tentang kerentanan dengan merujuk pada CERT Bund, dan
tidak ada yang malu dengan berita utama di
sana . Hapus VLC Sekarang! Kerentanan mengerikan yang tidak ada tambalannya!
Semuanya sangat buruk ! Secara umum, organisasi besar yang memelihara registri kerentanan dalam perangkat lunak biasanya dipercaya. Tetapi dalam kasus ini, proses normal mendeteksi masalah dan menemukan solusi untuknya terganggu.
Apa yang sebenarnya salah, pengembang VideoLan mengatakan dalam serangkaian tweet di akun resmi (kami sarankan untuk membaca seluruh
utas , para pengembang sangat marah dan tidak mempermalukan diri mereka dalam ekspresi). Untuk mulai dengan, VLC mendesak
meminta peneliti untuk tidak melaporkan kerentanan kepada pelacak publik. Untuk alasan yang jelas: jika masalah yang sangat serius ditemukan, pengembang harus punya waktu untuk memperbaikinya. Laporan bug pengguna topsec awal masuk ke bagian publik pelacak.
Kedua, penggagas laporan bug tidak menghubungi ketika mereka mencoba untuk mengklarifikasi detail dengannya. Ketiga, pengelola basis NIST NVD menambahkan informasi kerentanan dan menetapkan peringkat bahaya hampir maksimal tanpa berkonsultasi dengan pengembang VLC. Bund CERT melakukan hal yang sama, setelah itu media mengangkat topik tersebut.
Apakah ada kerentanan? Itu tadi! Di perpustakaan
libebml , yang merupakan bagian dari proyek sumber terbuka
Matroska.org . VLC memang mengakses pustaka ini ketika mem-parsing file MKV, tetapi kerentanan yang digunakan dalam exploit ditutup dalam versi 1.3.6 pada April 2018. Dimulai dengan versi 3.0.3, VLC sendiri menggunakan pustaka yang diperbarui. Butuh kombinasi yang sangat langka dari sistem Ubuntu yang relatif lama dan tampaknya tidak dapat diupgrade dengan perpustakaan libebml lama dan pemain baru untuk mengimplementasikan serangan. Jelas bahwa konfigurasi seperti itu tidak mungkin untuk pengguna biasa, dan VLC tidak ada hubungannya dengan itu - selama lebih dari satu tahun sekarang.
Pesan terakhir dari penulis laporan bug asli terlihat seperti ini: "Maaf, jika itu." Tetapi kerentanan nyata dengan properti yang serupa ditutup pada versi
aktual VLC 3.0.7 pada saat publikasi intisari. Itu juga terkandung di perpustakaan terbuka yang digunakan oleh VLC, dan menyebabkan eksekusi kode arbitrer ketika membuka file yang disiapkan. Itu ditemukan berkat
inisiatif Uni Eropa untuk menghargai kerentanan dalam proyek-proyek sumber terbuka populer (dan digunakan oleh lembaga pemerintah). Selain VLC, Notepad ++, Putty dan FileZilla dimasukkan dalam daftar perangkat lunak.
Secara umum, keamanan lebih merupakan proses daripada hasil. Kualitas proses ini ditentukan bukan oleh headline profil tinggi di media, tetapi, dalam kasus komputer pribadi Anda, oleh setidaknya pembaruan perangkat lunak biasa. Masalah bisa di mana saja, dan fakta bahwa kerentanan VLC ternyata palsu tidak menghilangkan kebutuhan untuk terus memperbarui program. Bahkan mereka yang tampaknya bekerja seperti itu dan tidak dianggap berbahaya. Ini termasuk, misalnya, pengarsip WinRAR, di mana
kerentanan kritis yang sangat kuno ditemukan beberapa bulan yang lalu. Menonaktifkan pengingat pembaruan VLC juga tidak layak, meskipun banyak yang melakukannya. Sebuah studi Avast yang relatif baru pada bulan Januari tahun ini
menunjukkan bahwa hanya 6% pengguna yang menginstal versi VLC saat itu.
Pengembang VLC, pada prinsipnya, tidak menyukai praktik ini ketika ada kerentanan dengan eksekusi kode arbitrer diberi peringkat bahaya maksimum. Dalam kebanyakan kasus, operasi sebenarnya dari lubang seperti itu sulit: korban perlu mengirim file yang diperlukan (atau tautan ke video streaming), dan memaksanya untuk membuka, dan menyebabkan tidak hanya crash program, tetapi eksekusi kode, dan bahkan dengan hak istimewa yang diperlukan, yang bukan fakta bahwa bisa mendapatkan. Ini adalah versi teoritis yang menarik dari serangan yang ditargetkan, tetapi sejauh ini tidak mungkin.
Penafian: Pendapat yang diungkapkan dalam intisari ini mungkin tidak sesuai dengan posisi resmi Kaspersky Lab. Para editor yang terhormat umumnya merekomendasikan untuk memperlakukan setiap pendapat dengan skeptis yang sehat.