«Небо падает; Удалите DLC прямо сейчас! Это совет, который дают некоторые веб-сайты. Однако предполагаемая ошибка VLC является преувеличением и, по словам разработчиков VLC, может даже не представлять реального риска.

Этот ажиотаж начался с выходом CVE-2019-13615, разработчики VLC недовольны тем, что с ними даже не связались до выхода этой уязвимости.

Разоблачение @MITREcorp и @CVEnew Тот факт, что они НИКОГДА не связываются с нами по поводу уязвимостей VLC за годы до выпуска, действительно не круто. Но, по крайней мере, вы можете проверить свою информацию или подтвердить себя, прежде чем публично сообщать об уязвимости CVSS 9.8…

– VideoLAN (@videolan) 23 июля 2019 г.

Но это плохо, не так ли? Это 9,8 из 10 — учитывая недостатки безопасности, это выглядит как неминуемая ядерная атака. Эта ошибка может привести к неправильному удаленному выполнению кода. Злоумышленники могут получить контроль над вашей системой через ошибку в VLC.

Как поясняет CVE, эта ошибка требует чтения поврежденного файла MKV. Теоретически, если вы загрузите и запустите вредоносный файл MKV из Интернета, он может скомпрометировать VLC — хотя никто не утверждает, что в реальном мире этого никогда не происходило. Кроме того, похоже, что версия VLC для macOS не затронута.

Хотя эта ошибка настолько серьезна, насколько кажется, вам просто нужно быть осторожным с файлами MKV — не загружайте неутвержденные файлы MKV и не воспроизводите их в VLC, пока не будет выпущено исправление. Держитесь подальше от MKV при взломе медиа.

Но не так быстро! Разработчики VLC говорят, что не могут даже воспроизвести проблему, предполагая наличие серьезных проблем с исходным отчетом об эксплойте.

Вы это вообще проверяли?
Здесь никто не может воспроизвести эту проблему.

– VideoLAN (@videolan) 23 июля 2019 г.

В конечном счете, вероятно, стоит держаться подальше от загруженных файлов MKV, пока VLC не исправит эту ошибку. Но это все, что вам действительно нужно делать, и даже это немного параноидально.

Как говорят разработчики VLC из VideoLAN Bug Tracking:

«Извините, но эта ошибка невоспроизводима и вообще не приводит к сбою VLC», — Жан-Батист Кемпф.

«Если вы встретите в этом тикете статью, в которой утверждается о критической ошибке в VLC, мы рекомендуем вам сначала прочитать комментарий выше и пересмотреть свои (неверные) источники информации», — Франсуа Картенье.

«Это не приведет к сбою обычной версии VLC 3.0.7.1», — Жан-Батист Кемпф.

Обновление: вот более длинный ответ VideoLAN. По словам разработчиков, в текущем программном обеспечении VLC вообще нет пробелов.

В результате репортер открыл в нашем баг-трекере ошибку, не подпадающую под политику отчетности, т.е.: H. Написал нам по электронной почте с псевдонимом безопасности.
Конечно, наш трекер ошибок общедоступен.

Конечно, мы не смогли воспроизвести проблему и попытались связаться с исследователем безопасности в частном порядке.

– VideoLAN (@videolan) 24 июля 2019 г.