Hace algunas horas, las organizaciones MITRE y CVE hacían eco de una vulnerabilidad muy grave en VLC. Este fallo de seguridad recibió una valoración de peligrosidad de 9.8 sobre 10 puntos al permitir a piratas informáticos ejecutar código en los ordenadores de los usuarios solo haciendo que ejecuten un vídeo.
Hasta aquí todo correcto. Sin embargo, VideoLAN ya era consciente de este fallo desde hace tiempo y, tal como afirman sus desarrolladores, no han sido capaces de reproducir el fallo ni siquiera utilizando el exploit que les facilitó el investigador de seguridad. Y no solo eso, sino que muchos otros usuarios de la comunidad han estado intentando reproducirlo, sin éxito.
Did you even check this?
— VideoLAN (@videolan) 23 de julio de 2019
No one can reproduce this issue here.
El enfado de los desarrolladores de este excelente reproductor multimedia es comprensible, y es que, además de que las organizaciones como MITRE y CVE nunca les han ayudado a la hora de detectar y solucionar vulnerabilidades (sino todo lo contrario, han intentado desprestigiar al programa), ni siquiera se han molestado en comprobar la veracidad de la vulnerabilidad.
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly...
— VideoLAN (@videolan) 23 de julio de 2019
Cómo afecta esta vulnerabilidad de VLC a nuestra seguridad
Según VideoLAN, este fallo de seguridad se puede explotar cuando un usuario abre con el reproductor VLC un archivo en formato MKV que ha sido modificado a bajo nivel para generar un desbordamiento del búfer que permite llegar a ejecutar código en el ordenador de la víctima. De todas formas, esto es lo que dice la teoría, ya que en la práctica nadie ha conseguido reproducir este mismo fallo.
De todas formas, no hay que catastrófico con este fallo. Lo primero que debemos tener en cuenta es que para que este este fallo pudiera poner en peligro nuestro ordenador, lo primero que deberíamos haber hecho sería descargar un archivo MKV de una web “de dudosa fiabilidad”. En otras palabras, habríamos bajado una peli pirata de Internet, por lo que habríamos decidido nosotros mismos correr ese riesgo.
Cómo protegernos de este fallo de seguridad
Tan pronto como VideoLAN consiga reproducir la vulnerabilidad (si es que es real, ya que aún no está confirmado) seguramente lance una actualización de emergencia en pocas horas. Instalando la nueva versión del reproductor ya deberíamos estar perfectamente protegidos, por lo que no tendríamos por qué preocuparnos más.
Mientras este parche de seguridad llega a los usuarios, estar protegidos es tan sencillo como no descargar contenido pirata de Internet. Y si aun así lo hacemos, con no ejecutar los archivos MKV con este reproductor no tendríamos nada de qué preocuparnos. Si nos bajamos un MKV de Internet podemos usar cualquier otro reproductor para abrirlo.
También podemos optar por usar la versión UWP de VLC, también gratuita y que, al ejecutarse de forma aislada, no supone ningún riesgo para nuestro PC.
Desde luego es un poco triste ver cómo algunos medios están lapidando a VLC a raíz de este presunto fallo de seguridad, un fallo que nadie ha conseguido reproducir aún y ante el que todos están actuando de forma paranoica.
Fuente: softzone
