Na semana passada (
notícias ), uma séria vulnerabilidade foi amplamente discutida no popular media player VLC. As informações sobre o problema foram adicionadas ao registro do
CERT Bund alemão e ao
Banco de Dados de Vulnerabilidade Nacional dos EUA. Inicialmente, a vulnerabilidade CVE-2019-13615 recebeu uma classificação de 9,8, ou seja, foi classificada como a mais perigosa.
O problema ocorre devido a um erro de leitura além dos limites do buffer no heap que pode ocorrer ao reproduzir um vídeo. Se explicado em termos mais humanos, você pode enviar o arquivo .mkv preparado para a vítima e obter controle do sistema através da execução de código arbitrário. Esta notícia é uma boa razão para falar sobre problemas no software que, ao que parece, não representa riscos sérios para o seu computador. Mas não desta vez: aparentemente, o pesquisador que relatou a vulnerabilidade cometeu um erro e atribuiu a versão mais recente do VLC a um problema que existia exclusivamente em sua distribuição Linux. Portanto, o post de hoje é dedicado a mal-entendidos e manchetes sensacionais.
Tudo começou há cinco semanas com
este tíquete no rastreador de erros do VLC. O usuário topsec (zhangwy) sem descrição adicional enviou o arquivo .mp4, que causa uma falha no player. Lá, essa mensagem ficou sem atenção por um tempo, enquanto as informações sobre a vulnerabilidade de alguma forma (ninguém sabe qual) entraram nos bancos de dados NIST NVD e CERT Bund. Depois disso, os desenvolvedores analisaram o relatório de erros - e não conseguiram reproduzir o ataque na versão mais recente do media player.
Enquanto isso, a mídia escreveu sobre a vulnerabilidade com referência ao CERT Bund, e
ninguém ficou tímido com as manchetes por
lá . Remova o VLC agora! Uma terrível vulnerabilidade para a qual não há patch!
Tudo está muito ruim ! Em geral, grandes organizações que mantêm um registro de vulnerabilidades no software geralmente são confiáveis. Mas, neste caso, o processo normal de detectar um problema e encontrar uma solução para ele foi interrompido.
O que exatamente deu errado, os desenvolvedores do VideoLan disseram em uma série de tweets na conta oficial (recomendamos a leitura de todo o
tópico , os desenvolvedores ficaram muito zangados e não se envergonharam de expressões). Para começar, o VLC
pede urgentemente
aos pesquisadores que não relatem vulnerabilidades ao rastreador público. Por razões óbvias: se um problema realmente sério for descoberto, os desenvolvedores deverão ter tempo para corrigi-lo. O relatório inicial de erros do usuário do topsec entrou na parte pública do rastreador.
Em segundo lugar, o iniciador do relatório de erros não entrou em contato quando eles tentaram esclarecer detalhes com ele. Em terceiro lugar, os mantenedores da base do NIST NVD adicionaram informações de vulnerabilidade e atribuíram uma classificação de risco quase máxima sem consultar os desenvolvedores do VLC. O CERT Bund fez o mesmo, após o qual a mídia abordou o assunto.
Havia uma vulnerabilidade? Foi! Na biblioteca
libebml , que faz parte do projeto de código aberto
Matroska.org . O VLC acessa essa biblioteca ao analisar arquivos MKV, mas as vulnerabilidades usadas na exploração foram fechadas na versão 1.3.6 em abril de 2018. A partir da versão 3.0.3, o próprio VLC usa uma biblioteca atualizada. Foi necessária uma combinação muito rara do sistema Ubuntu relativamente antigo e aparentemente não atualizado com a antiga biblioteca libebml e o novo player para implementar o ataque. É claro que tal configuração é improvável para usuários comuns, e o VLC não tem nada a ver com isso de qualquer maneira - há mais de um ano.
A última mensagem do autor do relatório de erros original é assim: "Você sente muito, se isso". Mas a vulnerabilidade real com propriedades semelhantes foi encerrada na versão
real VLC 3.0.7 no momento da publicação do resumo. Ele também estava contido na biblioteca aberta usada pelo VLC e levou à execução de código arbitrário ao abrir o arquivo preparado. Foi descoberto graças à
iniciativa da União Européia de recompensar vulnerabilidades em projetos populares de código aberto (e usados por agências governamentais). Além do VLC, o Notepad ++, Putty e FileZilla foram incluídos na lista de softwares.
Em geral, a segurança é mais um processo do que um resultado. A qualidade desse processo é determinada não pelas manchetes de destaque na mídia, mas, no caso do seu computador pessoal, por pelo menos atualizações regulares de software. Os problemas podem estar em qualquer lugar, e o fato de a vulnerabilidade do VLC ser falsa não elimina a necessidade de atualizar constantemente os programas. Mesmo aqueles que parecem funcionar assim e não são percebidos como perigosos. Isso inclui, por exemplo, o arquivador WinRAR, no qual uma
vulnerabilidade crítica muito antiga
foi encontrada há alguns meses atrás. Desabilitar os lembretes de atualização do VLC também não vale a pena, embora muitos o façam. Um estudo relativamente recente da Avast em janeiro deste ano
mostrou que apenas 6% dos usuários tinham a versão atual do VLC instalada naquele momento.
Os desenvolvedores de VLC, em princípio, não gostam da prática quando qualquer vulnerabilidade com a execução de código arbitrário recebe a classificação máxima de perigo. Na maioria dos casos, a operação real de tal falha é difícil: é necessário que a vítima envie o arquivo necessário (ou um link para o vídeo em streaming) e force a abertura, causando não apenas a falha do programa, mas também a execução do código, e mesmo os privilégios necessários, que não são o fato de que pode obter. Esta é uma versão teórica interessante de um ataque direcionado, mas até agora improvável.
Isenção de responsabilidade: as opiniões expressas neste resumo podem não coincidir com a posição oficial da Kaspersky Lab. Caros editores, geralmente recomendam tratar qualquer opinião com ceticismo saudável.