Ubunlog Pablinux  

Descubren vulnerabilidad crítica en VLC, pero VideLan asegura que “VLC no es vulnerable”

VLC seguroHace unas horas se ha hecho público un fallo de seguridad en VLC que está marcado con un 9.8 sobre 10 en la escala de peligrosidad. El “fallo crítico” lo ha descubierto CERT-Bund y ha sido publicado por WinFuture (en alemán), donde describen una vulnerabilidad que permite la ejecución de código remota, lo que podría permitir que un usuario malintencionado remoto instalara, modificara o ejecutara código sin que nos diéramos cuenta o incluso que accediera a los archivos de nuestro sistema. También ha sido difundido por Mitre.

Las versiones afectadas serían las de Linux, Windows y Unix, estando a salvo la de macOS, todo según WinFuture y el resto de fuentes que han difundido esta información. Lo bueno es que nadie ha explotado la vulnerabilidad, lo que, unido a la versión de VideoLan, nos deja con la duda de si todo esto es real o una falsa alarma. Pero lo cierto es que leyendo la versión de VideoLan, aún tenemos más dudas sobre lo que está pasando.

Según VideoLan, no es problema de VLC

“¿Habéis siquiera comprobado esto? Nadie puede reproducir este problema aquí”

En el momento de escribir estas líneas, VideoLan parece muy indignado con lo que han hecho CVE y Mitre. Primero se quejan de que no han estado en contacto con ellos para nada durante años y ahora publican este fallo sin decirles nada. Luego dicen que no es un fallo de VLC, sino de una librería de terceros relacionada con los archivos MKV, y que está corregido desde hace meses:

“Sobre el “fallo de seguridad en #VLC”: VLC no es vulnerable. tl;dr: el fallo está en una librería de terceros, llamada libebml, que fue reparada hace más de 16 meses. VLC entregó la versión correcta desde 3.0.3, y Mitre ni comprobó lo que publica”

Un fallo muy difícil de explotar

La compañía que desarrolla uno de los reproductores más populares del planeta también tiene otra queja: ¿cómo es posible que un fallo que no se puede explotar haya conseguido un 9.8 sobre 10 en la escala de peligrosidad? También dicen que, en el peor de los casos, es imposible robar datos del equipo ni ejecutar código remotamente, siendo lo más grave provocar un “crash” en el sistema operativo.

VideoLan ya ha creado un parche que soluciona un fallo que dicen que ya no existe en su reproductor. Aseguran que está corregido desde la v3.0.3 del reproductor, pero hace solo unos que han marcado como “cerrado” dicho parche. Lo cierto es que en él sí aparece la 3.0.3 como la versión afectada. Por si fuera poco, NIST ha modificado su entrada sobre esta vulnerabilidad diciendo que “Esta vulnerabilidad ha sido modificada desde que fue analizada por última vez por el NVD. Está a la espera de un nuevo análisis que puede dar lugar a nuevos cambios en la información proporcionada“, lo que significa que los primeros análisis no son correctos.

Unos dicen que es superpeligroso usar VLC, incluso se ha llegado a recomendar su desinstalación, otros dicen que hay que comprobar lo que se publica y que el fallo no existe, otros modifican sus artículos originales… Lo único seguro es que yo no desinstalo VLC.

Artículo relacionado:
Como grabar el escritorio de Ubuntu con VLC

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.