VLC: το “κρίσιμο ελάττωμα” που ανακοινώθηκε στην αρχή της εβδομάδας δεν υπάρχει!

Phonandroid : actu Android et High-tech

Οι προγραμματιστές του VLC δεν κατάφεραν να αναπαραγάγουν το κρίσιμο ελάττωμα CVE-2019-13615 στο VLC 3.0.7.1, ωστόσο ανακοινώθηκε νωρίτερα αυτήν την εβδομάδα από το CERT-Bund. Οι προγραμματιστές του VideoLAN επικρίνουν ότι μεταδίδουν σε μια σειρά tweets τις πρακτικές της MITER Corporation και της βάσης δεδομένων CVE, στην αρχή της ειδοποίησης. Δεν θα είχαν ελέγξει την έκθεσή τους πριν από τη δημοσίευσή τους, ούτε θα έλεγαν εκ των προτέρων τη VLC.

vlc

Σας ανέφερα ότι σας αρέσουν πολλοί ιστότοποι στις αρχές της εβδομάδας: ένα κρίσιμο ελάττωμα θα επηρεάσει (υπό το φως αυτών των νέων πληροφοριών που απαιτείται υπό όρους) VLC. Ελάττωμα που θα είχε φτάσει στο σκορ 9,8 / 10, ενισχύοντας τη σοβαρότητά του. Η πηγή, το CERT-Bund (γερμανική κρατική υπηρεσία) καθώς και η καταχώριση στη βάση δεδομένων CVE, φαινόταν να είναι σοβαρή. Ωστόσο, σύμφωνα με αξιωματούχους του VideoLAN, αυτή η αναφορά έχει όλα τα χαρακτηριστικά… ενός ψευδούς συναγερμού.

Δεν ήταν δυνατή η αναπαραγωγή κρίσιμου ελαττώματος στο VLC

Σε μια σειρά tweets, εξήγησαν αρχικά ότι δεν κατάφεραν να αναπαραγάγουν το σφάλμα και στη διαδικασία αμφισβήτησαν τις μεθόδους αυτής της αμερικανικής βάσης δεδομένων που διαχειρίζεται η MITER Corportation και των οποίων η σοβαρότητα σπάνια αμφισβητείται. Η βάση δεδομένων CVE επιτρέπει συνήθως την ταυτοποίηση μιας ευπάθειας μόλις ανακαλυφθεί με ένα μοναδικό αναγνωριστικό, προκειμένου να διευκολυνθεί η επακόλουθη εργασία για τη διόρθωσή της. Η ομάδα VideoLAN, ωστόσο, αναρωτιέται αν η σοβαρότητα ήταν σύμφωνα με τα συνήθη πρότυπα κατά τη διάρκεια αυτής της ειδοποίησης.

Κυκλοφορούν σε μια πρώτη διεύθυνση, αναφέροντας το tweet από το CVE: “Σχεδιάσατε ακόμη και να το επιβεβαιώσετε;” Κανείς δεν μπορεί να αναπαραγάγει αυτό το πρόβλημα εδώ ». Στο πρόγραμμα εντοπισμού σφαλμάτων στον ιστότοπο VideoLAN, μια ανταλλαγή μεταξύ του Jean-Baptiste Kempf, του προέδρου του συλλόγου και ενός από τους προγραμματιστές του François Cartenie, οδηγεί το θέμα: “Συγγνώμη, αλλά αυτό το σφάλμα δεν μπορεί να αναπαραχθεί και δεν προκαλεί σφάλμα VLC”, σχολιάζει το πρώτο.

Και ο François Cartenie να προσθέσει: “Εάν φτάσετε σε αυτό το εισιτήριο μέσω ενός άρθρου που ισχυρίζεται την παρουσία ενός κρίσιμου ελαττώματος στο VLC, σας προτείνω να διαβάσετε πρώτα το παραπάνω σχόλιο και να επανεξετάσετε τις πηγές (ψεύτικων) ειδήσεών σας.” Αργότερα, ο Jean-Baptiste Kempf επιβεβαιώνει ότι το σφάλμα δεν επηρεάζει, συγκεκριμένα, την έκδοση 4.0.7.1 του VLC.

Το VideoLAN είναι πολύ αναστατωμένο έναντι των MITER και CVE

Σε ένα άλλο tweet, το VideoLAN επικρίνει τη MITER Corporation και την CVE για το ότι δεν έφτασε ποτέ στην ένωση πριν δημοσιεύσει ειδοποιήσεις παραβίασης ασφαλείας. Και προσθέστε: “Θα μπορούσατε τουλάχιστον να ελέγξετε τις πληροφορίες σας ή να δείτε τι σας συμβαίνει πριν στείλετε μια ευπάθεια CVSS 9.8 [sur 10, ndlr] στο κοινό “. Πιστεύουμε ότι οι ηγέτες του συλλόγου είναι πολύ αναστατωμένοι – και τους καταλαβαίνουμε. Μια τέτοια ειδοποίηση μπορεί να οδηγήσει σε μαζικές απεγκαταστάσεις.

Διαβάστε επίσης: Facebook Messenger Kids – το κενό επιτρέπει στα παιδιά να μιλούν σε μη εξουσιοδοτημένες επαφές

Διαβάζοντας τα πιο πρόσφατα μηνύματα στο tracker, δύο προγραμματιστές εξακολουθούν να αναφέρουν σφάλματα σε ορισμένες πολύ συγκεκριμένες συνθήκες στα Windows και περιορισμένη διαρροή μνήμης. Προβλήματα που θα διορθωθούν σε μια ενημέρωση – αλλά που δεν φαίνεται να δικαιολογούν πανικό σε αυτό το σημείο.

Πηγή: VideoLAN