Actualizar: VideoLAN tuitea que VLC no es más vulnerable ya que el problema se había solucionado hace más de 16 meses. Entonces, como usuarios, todo lo que necesita hacer es actualizar la aplicación a su última versión.
Acerca del “problema de seguridad” en #VLC: VLC no es vulnerable.
tl; dr: el problema está en una biblioteca de terceros, llamada libebml, que se solucionó hace más de 16 meses.
VLC desde la versión 3.0.3 tiene la versión correcta enviada, y @MITREcorp ni siquiera verificó su reclamo.
Hilo:
– VideoLAN (@videolan) 24 de julio de 2019
VLC es el software de reproducción de medios para Windows y tiene una buena cantidad de descargas en las plataformas móviles Android e iOS. Por lo tanto, es posible que su PC o teléfono también lo tenga instalado. Una agencia de seguridad alemana ha descubierto una falla potencialmente crítica. Se alega que el ataque comienza con la reproducción de un archivo de video MKV malicioso. Los atacantes aparentemente pueden secuestrar su dispositivo y acceder a los archivos.
La falla de seguridad de VLC: ¿Qué significa?
VLC es un popular reproductor multimedia de código abierto de una empresa francesa llamada VideoLAN. Recientemente superó los 3 mil millones de descargas, lo que en sí mismo es un testimonio de su fama. Sin embargo, ahora CERT-Bund, la agencia de seguridad alemana antes mencionada, atribuye a la aplicación una puntuación de vulnerabilidad “crítica” de 9,8 sobre 10. Está publicado en y como CVE-2019-13615.
LEA TAMBIÉN: El plan Netflix solo para dispositivos móviles para India se lanzó en Rs. 199 por mes: ¿En qué se diferencia del plan básico?
Si se está preguntando, el problema está en la versión para PC (Windows, Unix y Linux), que abre una puerta trasera para que los piratas informáticos impulsen un ataque malicioso. Esto se denomina ejecución remota de código, que podría resultar en un ataque DDoS (denegación de servicio), corrupción de archivos, robo de datos y más.
Usuarios de VLC (PC): ¿Qué pueden hacer?
Fuente: VideoLANSe le aconseja que se mantenga alejado de los archivos MKV mal formados de Internet, hasta que se repare el supuesto defecto y estemos seguros de que no habrá ningún problema. En primer lugar, no descargue de ningún sitio web sospechoso. E incluso si algo se descarga en su carpeta de Descargas, no lo ejecute. Un consejo profesional sería evitar los videos piratas (especialmente el formato MKV) de Torrents y otras fuentes similares.
LEA TAMBIÉN: Preguntas frecuentes de Realme X – Todas las preguntas respondidas
Además, siempre debe mantener actualizado todo el software (incluido VLC). Asegúrese de que VLC esté actualizado con sus últimas bibliotecas. O puede probar alternativas de VLC como KMPlayer o Media Player Classic. Eso es todo por ahora.
¿Cuál es la respuesta de VLC?
La buena noticia es que el problema aún no se ha aprovechado. VLC también está al tanto de la situación y está trabajando en un parche. Según los informes, el parche está listo en un 60 por ciento. Pero hasta entonces, muchos sistemas son vulnerables.
Los desarrolladores de VLC afirman que el problema no es tan grave como lo enfatizan la agencia de seguridad y algunos sitios en la web. Tuitea de la siguiente manera:
Hola @MITREcorp y @CVEnew, el hecho de que NUNCA nos contactes por vulnerabilidades de VLC durante años antes de la publicación no es genial; pero al menos podría comprobar su información o comprobarse usted mismo antes de enviar públicamente la vulnerabilidad CVSS 9.8 …
– VideoLAN (@videolan) 23 de julio de 2019
Además, critica a MITREcorp y CVEnew por ignorar sus pautas de divulgación, que establecen lo siguiente:
Póngase en contacto directamente con el proveedor del producto afectado
Debe hacer un esfuerzo de buena fe para notificar al proveedor afectado y trabajar con él para asegurarse de que haya un parche disponible antes de divulgar públicamente la vulnerabilidad. La información es más precisa y completa cuando los investigadores y los proveedores trabajan juntos. Esta práctica también reduce la probabilidad de que se emita un ID CVE duplicado, lo que puede suceder cuando tanto un investigador como un proveedor solicitan ID CVE.
Fuente: cve.mitre.org
VLC incluso destaca un problema de reproducción con el informe de explotación original.
¿Incluso revisaste esto?
Nadie puede reproducir este problema aquí.
– VideoLAN (@videolan) 23 de julio de 2019
Lo mantendremos informado sobre este tema. Puede marcar este artículo como favorito para obtener más referencias. Compártelo en tu círculo social para informar a tu gente.
