«El cielo se está cayendo; desinstale VLC ahora mismo! » Ese es el consejo que brindan algunos sitios web. Pero la supuesta falla de VLC es exagerada y, según los desarrolladores de VLC, puede que ni siquiera sea un riesgo real.
Toda esta conmoción comenzó con la publicación de CVE-2019-13615, que está marcada como una vulnerabilidad «crítica» con una puntuación de 9,8 sobre 10. Los desarrolladores de VLC no están contentos de que ni siquiera hayan sido contactados antes de la publicación de esta falla.
Oye @MITREcorp y @CVEnuevo , el hecho de que NUNCA nos contactes por vulnerabilidades de VLC durante años antes de publicar no es realmente bueno; pero al menos podría comprobar su información o comprobarse usted mismo antes de enviar públicamente la vulnerabilidad CVSS 9.8 …
– VideoLAN (@videolan) 23 de julio de 2019
Pero es malo, ¿verdad? Eso es 9,8 sobre 10; en cuanto a fallas de seguridad, suena como un ataque nuclear entrante. Según los informes, esta falla podría resultar en la ejecución remota de código, lo cual es malo. Los atacantes podrían obtener el control de su sistema a través de un error en VLC.
Como explica el CVE, esta falla requiere reproducir un archivo MKV con formato incorrecto. En teoría, si descarga un archivo MKV malicioso de la web y lo ejecuta, podría comprometer VLC, aunque nadie afirma que esto haya sucedido nunca en el mundo real. Además, la versión macOS de VLC no parece verse afectada.
Por lo tanto, incluso si esta falla es tan grave como parece, solo debe tener cuidado con los archivos MKV; no descargue archivos MKV que no sean de confianza y reprodúzcalos en VLC hasta que se publique un parche. Manténgase alejado de MKV si está pirateando medios.
¡Pero no tan rápido! Los desarrolladores de VLC dicen que ni siquiera pueden reproducir el problema, lo que sugiere que hay serios problemas con el informe de explotación original.
¿Incluso revisaste esto?
Nadie puede reproducir este problema aquí.
– VideoLAN (@videolan) 23 de julio de 2019
Al final del día, probablemente sea una buena idea mantenerse alejado de los archivos MKV descargados hasta que VLC corrija esta falla. Pero eso es todo lo que realmente necesitarías hacer, e incluso eso es ser un poco paranoico.
Como explican los desarrolladores de VLC en el Rastreador de errores VideoLAN:
«Lo siento, pero este error no es reproducible y no bloquea VLC en absoluto». -Jean-Baptiste Kempf
«Si aterriza en este boleto a través de un artículo de noticias que afirma una falla crítica en VLC, le sugiero que lea el comentario anterior primero y reconsidere sus fuentes de noticias (falsas)». -Francois Cartegnie
«Esto no bloquea una versión normal de VLC 3.0.7.1» -Jean-Baptiste Kempf
Actualización: Aquí está la respuesta más extensa de VideoLAN. Según los desarrolladores, no hay ningún defecto en el software actual de VLC.
Entonces, un reportero, abrió un error en nuestro rastreador de errores, que está fuera de la política de informes, es decir, envíenos un correo electrónico en privado con el alias de seguridad.
Por supuesto, nuestro rastreador de errores es público.
Por supuesto, no pudimos reproducir el problema e intentamos contactar al investigador de seguridad en privado.
– VideoLAN (@videolan) 24 de julio de 2019