Zespół VideoLAN zaprzecza istnieniu luki
Twórcy aplikacji VLC utrzymują, że doniesienia o luce bezpieczeństwa w odtwarzaczu multimedialnym są fałszywe.
Programiści zespołu VideoLAN twierdzą, że aplikacja VLC Media Player nie jest obecnie podatna na ataki.
Przed kilkoma dniami niemiecki CERT-Bund (wchodzący w skład Federalnego Urzędu ds. Bezpieczeństwa Informacyjnego) poinformował, że VLC Media Player może posłużyć do zdalnego przejęcia kontroli nad komputerem podczas odtwarzania zainfekowanych plików multimedialnych.
Zdaniem szefa VideoLAN, Jean-Baptiste Kempfa, przedstawiony przez CERT-Bund problem z zabezpieczeniami nie dotyczy odtwarzacza w najnowszej wersji (3.0.7); możliwość wykorzystania exploita opisanego przez niemieckich specjalistów, rzeczywiście istniała, ale poprawka eliminująca lukę pojawiła się 16 miesięcy temu.
Zespół VideoLAN we własnym kanale w serwisie Twitter wyjaśnia, że zagrożenie było związane z zewnętrzną biblioteką libebml; począwszy od VLC w wersji 3.0.3 niebezpieczeństwo powstania i wykorzystania exploita opisanego przez niemiecki CERT nie istnieje.
Z kolei w rozmowie z serwisem The Daily Swig Jean-Baptiste Kempf stwierdził, że zespół programistów odpowiedzialny za odtwarzacz VLC w ogóle nie został poinformowany o istnieniu domniemanej usterki za pośrednictwem systemu zgłaszania błędów działającego w ramach projektu VideoLAN. Jak przypuszcza Kempf, użytkownik, który wszczął alarm, prawdopodobnie uruchomił oprogramowanie VLC w przestarzałej dystrybucji Ubuntu (z nieaktualnym wydaniem biblioteki libebml). Programiści nie mieli szansy zareagować na informacje o rzekomej luce; dotarły one z kolei do niemieckich specjalistów od spraw bezpieczeństwa.
Rzecznik CERT-Bund w odpowiedzi na pytania przekazane drogą e-mailową przez The Daily Swig stwierdził, że na skutek interwencji zespołu VideoLAN niemieccy specjaliści obniżają stopień zagrożenia związanego z aplikacją VLC z krytatycznego na niski („niedrig"). Komunikat w tej sprawie pojawił się już na stronie CERT-Bund. Jako zagrożone wskazywane jest wciąż oprogramowanie w wersji 3.0.7.1, czemu z kolei zaprzecza Jean-Baptiste Kempf – mówiący o usunięciu luki już w wersji 3.0.3.
