Actualizado al 24 de julio de 2019. El asunto ha dado un giro inesperado luego de que se descubrió la vulnerabilidad, ya que VideoLAN ha desestimado los reportes acerca del fallo y ha criticado a MITRE por su proceso. Hace unos minutos, la puntuación de 9.8 (crítica) que fue dada por CVSS se modificó a 5.5 (gravedad media) y se agregó una nota que aclara que “la víctima debe interactuar voluntariamente con el mecanismo de ataque”. En un hilo de Twitter el equipo de VideoLAN hace su descargo y explica su discrepancia acerca de la existencia de la vulnerabilidad y su molestia con lo que ha sido todo el proceso. De igual forma, a continuación podrán leer la versión original artículo.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) 24 de julio de 2019
El Equipo de Respuesta ante Emergencias Informáticas de Alemania (CERT-Bund) emitió una advertencia de seguridad para alertar a los usuarios del popular reproductor de audio y video, VLC Media Player, acerca de la existencia de una vulnerabilidad crítica en dicho software.
“Un atacante anónimo puede, de manera remota, explotar la vulnerabilidad en VLC para ejecutar código arbitrario, causar una denegación de servicio, exfiltrar información o manipular archivos”, aseguraron desde el CERT-Bund, quienes a su vez fueron los que descubrieron el bug.
El fallo de corrupción de memoria está en la última versión del reproductor, 3.0.7.1, pero también pueden estar presente en versiones previas. Asimismo, afecta a las versiones de VLC tanto para Windows, Linux y UNIX y recibió una puntuación de 4 sobre 5 en la escala de severidad que maneja la agencia alemana.
Mientras tanto, según la Base de Datos Nacional de Vulnerabilidades de los Estados Unidos (NVD) del NIST, el fallo es crítico, siendo categorizado con un puntaje de 9.8 sobre 10 en la escala que utiliza el Sistema de Puntuación de Vulnerabilidad Común (CVSS). El bug es causado por una condición de sobre lectura del búfer de memoria basado en el montículo (heap) y cae dentro del identificador CWE-119. Aparentemente, para la exitosa explotación de la vulnerabilidad, que es monitoreada bajo el CVE-2019-13615, no necesita interacción por parte del usuario y tampoco privilegios del sistema.
Dicho esto, el sitio web alemán Heise.de aclara que la explotación podría requerir el diseño especial de un archivo mp4, aunque ni el Cert-Bund o el NVD mencionaron esto.
Es de gran importancia mencionar que de momento no se creó un parche para este fallo y la fecha de su lanzamiento tampoco está clara. Según el registro de bugs que llevan adelante los desarrolladores de VLC, VideoLan, la reparación de este fallo está dentro de sus prioridades. Al momento de escribir este artículo, aseguran que el parche fue completado en un 60%.
Por otra parte, la buena noticia es que no se han conocido casos de que la vulnerabilidad haya sido explotada de manera activa. Igualmente, hasta que el parche no sea lanzado, la única solución parece ser no utilizar el reproductor hasta ese momento.
El reproductor VLC cuenta con más de 3,1 mil millones de instalaciones de las distintas versiones que fueron lanzadas y en distintos sistemas operativos, cifra que no es equivalente a la cantidad de sistemas afectados.
