Světová média v čele s Gizmodem šíří zprávu o údajné kritické bezpečnostní chybě v populárním přehrávači VLC. Některá zacházejí tak daleko, že doporučují VLC okamžitě odinstalovat. Skutečnost je ovšem jiná. Chyba je ve staré verzi knihovny, kterou VLC už více než rok nepoužívá.

Jde o chybu CVE-2019-13615, která umožňuje remote code execution, tedy vykonání kódu zvoleného útočníkem. Chyba je zneužitelná pouze lokálně (je nutné přehrát "nakažený" soubor). Především ale nejde o chybu VLC jako takového, ale o problém knihovny, kterou VLC používá. A navíc jde o problém se starou verzí knihovny, kterou VLC již nepoužívá více než rok.

Problém je v knihovně libEBML, která se stará o zpracování metadat v některých videoformátech. EBML je standard, který umožňuje efektivně ukládat binární data v XML formátu. Používá se třeba ve formátu Matroska (soubory s příponou .mkv, .mka, .mks, .webm a další). Poslední verze VLC, která byla chybou knihovny zasažená, byla 3.0.2. Počínaje verzí 3.0.3 se nemají uživatelé čeho obávat - přičemž tato verze vyšla 29. května 2018, tedy před čtrnácti měsíci.

Riziková média

Knihovny pro práci s multimédii jsou vděčným terčem útoků. Vzpomeňme třeba chyby v knihovně Stagefright na Androidu, která před několika lety ohrožovala prakticky všechny telefony na této platformě. Kritické chyby ale byly nalezeny i v knihovnách FFmpeg, libAV, ImageMagicku a mnohých dalších. Zmiňované VLC bylo v říjnu loňského roku postiženo chybou v knihovně LIVE555, která se stará o streaming pomocí protokolu RTSP.

Kód pro zpracování obrázků, zvuků a videa je velmi citlivý a chyby se v něm dělají snadno. Typicky se z výkonových důvodů píše v nízkoúrovňových jazycích a je složitý. Přitom je snadno zneužitelný, protože stačí podvrhnout oběti správný datový soubor. V ohrožení jsou přitom více uživatelé, kteří vyhledávají obsah šířený mimo oficiální kanály.

Nestandardní postupy MITRE a německého CERT

Vývojáři projektu VideoLAN, který stojí za VLC a souvisejícím softwarem, si stěžují na nestandardní postupy americké organizace MITRE a německého CERT. Ty vydaly varování, aniž by si ověřily jeho pravdivost a vývojáře upozornily a daly jim šanci se vyjádřit, což je v rozporu s jejich vlastními pravidly.

Řada médií pak zprávu převzala a paniku šířila dál.

Zbytečná panika: přehrávač VLC mazat nemusíte, chyba je opravená více než rok

Novinka! Audio článek

Riziková média

Nestandardní postupy MITRE a německého CERT

Kdo neplánuje rozpočet už teď, nová pravidla kyberbezpečnosti nestihne včas zavést. Problém mají hlavně výrobní firmy

Co je největší bezpečnostní hrozbou u ERP systémů?

Džin umělé inteligence se už do lahve nevrátí

Zákeřný útok na XZ Utils: Dokáže se open source ubránit nové generaci útoků zevnitř?

Rusko zkouší tisíce kybernetických útoků na evropské dráhy, tvrdí český ministr dopravy

Kdo neplánuje rozpočet už teď, nová pravidla kyberbezpečnosti nestihne včas zavést. Problém mají hlavně výrobní firmy

Co je největší bezpečnostní hrozbou u ERP systémů?

Džin umělé inteligence se už do lahve nevrátí

Zákeřný útok na XZ Utils: Dokáže se open source ubránit nové generaci útoků zevnitř?

Rusko zkouší tisíce kybernetických útoků na evropské dráhy, tvrdí český ministr dopravy

Vybíráme z HN

Trump poprvé přiznává: Přežití Ukrajiny je důležité i pro Spojené státy

Hlavně popřít realitu! Úvod do Babišovy postfaktické politiky v jednom příběhu

Komu patří Karsit? Románová detektivka z reálného života českého byznysu