VLC: vulnerabilità 'critica' scoperta, ma non disinstallatelo. Ecco cosa fare

VLC: vulnerabilità 'critica' scoperta, ma non disinstallatelo. Ecco cosa fare

Il media player avrebbe, secondo alcune fonti, una vulnerabilità critica che consentirebbe nella peggiore delle ipotesi l'esecuzione di codice da remoto. L'azienda, però, smentisce le accuse e definisce la notizia "una bufala"

di pubblicata il , alle 17:01 nel canale Multimedia
VLC
 

Nelle ultime ore è stata diffusa una notizia abbastanza preoccupante per tutti gli utenti di VLC, il celeberrimo player multimediale disponibile su diverse piattaforme, sia desktop che mobile. Nel software sarebbe infatti presente una vulnerabilità sfruttabile con video realizzati ad-hoc attraverso la quale sarebbe possibile provocare un crash nel player o, nel caso più grave, consentire l'esecuzione di codice da remoto. Si tratterebbe, dunque, di una vulnerabilità di sicurezza gravissima all'interno di un software più che popolare.

La vicenda però non sembra essere così lineare, visto che dalla divulgazione della notizia (da parte di CERT Bund) sono arrivati diversi commenti. Jean-Baptiste Kempf, presidente di VideoLAN (lo sviluppatore alla base del media player) e responsabile dello sviluppo di VLC, ha rilasciato una serie di messaggi sull'argomento: "La vulnerabilità non provoca il crash su una release normale di VLC 3.0.7.1", per poi continuare in seguito definendo quella della fonte una "bufala". Il dirigente di VideoLAN, in un ulteriore commento, sottolinea inoltre che "il bug non è in qualche modo riproducibile su VLC, né lo manda in crash".

La stessa VideoLAN è intervenuta ufficialmente attraverso il canale ufficiale Twitter individuando con esattezza il problema: secondo l'azienda il "problema di sicurezza" è presente in una libreria di terze parti (libebml), ed è stato sistemato più di 16 mesi fa. VideoLAN ha aggiornato VLC con il fix a partire dalla versione 3.0.3. È possibile leggere tutto il commento dell'azienda su Twitter, insieme alle critiche nei confronti del modus operandi (reiterato) di MITRE che ha divulgato il CVE, e delle tecniche utilizzate per verificare il bug. L'azienda sottolinea pertanto che VLC non è vulnerabile.

Cosa fare quindi, se si è assidui utenti del media player di VideoLAN? Per essere sicuri di non avere una vulnerabilità nel proprio sistema è posisbile scaricare il video proof-of-concept pubblicato nella segnalazione originale del bug, lanciarlo con VLC e aspettare il crash. Secondo chi ha divulgato l'exploit il video manda in crash il player, ma secondo molte altre segnalazioni lanciando il file non avviene nulla (nel nostro caso infatti non abbiamo verificato alcun crash con l'ultima release di VLC, la 3.0.7.1).

Il bug dovrebbe inoltre coinvolgere solo i client VLC per Windows, Unix e Linux, e può essere sfruttato solo attraverso file .MKV, mentre chi usa macOS è totalmente al sicuro. Inoltre, il bug non sembra essere mai stato sfruttato attivamente nelle quattro settimane che dovrebbe essere rimasto attivo nel software. Insomma, sull'argomento ci sono visioni nettamente contrastanti, tuttavia se volete rimanere al sicuro al 100% in questo caso basta aggiornare, o non avere una versione di VLC più vecchia di 16 mesi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
vraptus24 Luglio 2019, 17:53 #1
VLC media player 3.0.7.1 Vetinari su MX linux: scaricato il video, nessun crash.
Mr Resetti24 Luglio 2019, 18:11 #2
Versione 2.2.6 (umbrella) e nessun crash col file heap over flow.
robbybby24 Luglio 2019, 18:32 #3
VLC media player 3.0.7.1 Vetinari 64 bit su ArchLinux: scaricato il video, nessun crash.
biometallo24 Luglio 2019, 18:54 #4
A me su linux mint manda in crash sia xpalyer 2.0.2 che VLC 3.0.4 Vetinari
aqua8424 Luglio 2019, 18:57 #5
ma se:
Il bug dovrebbe inoltre coinvolgere solo i client VLC per Windows, Unix e Linux, e può essere sfruttato solo attraverso file .MKV


perchè il video di prova che serve per verificare se è presente il bug è un MP4 ?
avvelenato24 Luglio 2019, 19:57 #6
Provato con la 3.0.6, nessun crash.
lugligino24 Luglio 2019, 23:12 #7
Originariamente inviato da: biometallo
A me su linux mint manda in crash sia xpalyer 2.0.2 che VLC 3.0.4 Vetinari

Anche a me capita lo stesso
Ho la versione a 32 bit.
find_9225 Luglio 2019, 06:36 #8
ubuntu 19.04 con vlc 3.0.6 crash continuo e cpu al 90%.
Jack.Mauro25 Luglio 2019, 09:09 #9
Leggendo i commenti Crash SI / Crash NO, mi viene da pensare che non c'entri soltanto la versione, ma anche le impostazioni di accelerazione hardware, la versione dei driver video e/o il tipo di scheda video presente sul sistema.
-----------
No, probabilmente ho detto una quarzata: chi si ritrova il processo VLC piantato, ad esempio:
Originariamente inviato da: find_92
ubuntu 19.04 con vlc 3.0.6 crash continuo e cpu al 90%.

probabilmente ottiene questo effetto perché aveva attivato (precedentemente) il ripeti (traccia o playlist, poco importa).

Dopo aver disattivato il Ripeti, VLC fallisce il caricamento del proof of concept, dato che è l'inizio di un video più lungo, ma non crasha né si comporta male:
mkv error: cannot load some cues/chapters/tags etc. (broken seekhead or file)
mkv error: Dummy Element at unexpected position... corrupted file?
mkv error: Dummy element too large or misplaced at 7963... skipping to next upper element
mkv error: This element is outside its known parent... upping level
mkv error: Dummy Element at unexpected position... corrupted file?
mkv error: Dummy element too large or misplaced at 7963... skipping to next upper element
mkv error: This element is outside its known parent... upping level

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^