VLC e la vulnerabilità che non esiste

Nelle ultime ore è circolata la notizia della presenza di una grave vulnerabilità in VLC 3.0.7.1 per Windows e Linux. Al bug è stato assegnato il codice CVE-2019-13615 e alcuni siti hanno consigliato agli utenti di disinstallare subito il media player. In realtà la vulnerabilità è stata risolta oltre 16 mesi fa con la versione 3.0.3, quindi è sufficiente aggiornare VLC.

Il presunto bug è stato segnalato sul sito di VideoLAN circa quattro settimane fa. Secondo un utente, la vulnerabilità è presente nella libreria di terze parti libebml e potrebbe essere sfruttata per eseguire codice remoto. Jean-Baptiste Kempf, noto sviluppatore di VLC, ha effettuato alcuni test, ma non è stato in grado di riprodurre il problema perché il bug è stato risolto con VLC 3.0.3, versione del media player distribuita oltre un anno fa. Si è poi scoperto che il segnalatore ha utilizzato Ubuntu 18.04, una vecchia release del sistema operativo che include una versione vulnerabile del modulo.

VideoLAN ha pubblicato una serie di tweet per protestare contro i siti specializzati che hanno creato solo allarmismo (per incrementare le visite con titoli “clickbait“). La fondazione ha inoltre sottolineato che MITRE Corporation ha assegnato un codice CVE senza prima avvertire VideoLAN, violando la loro stessa policy. Stesso comportamento seguito dal CERT tedesco che ha pubblicato un avviso di sicurezza.

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

— VideoLAN (@videolan) July 24, 2019

Quanto successo evidenzia le conseguenze di una falsa segnalazione che può arrecare enormi danni economici e di immagine ad un’azienda. Gli utenti non devono utilizzare un media player alternativo, come erroneamente suggerito da qualcuno, ma devono solo installare la versione più recente di VLC.