VLC Media Player niega vulnerabilidades y emite una dura declaración

VLC Media Player es una de las grandes referencias mundiales como reproductor y framework multimedia. Software libre y de código abierto, se distribuye bajo la licencia GPLv2.1+ y soporta múltiples sistemas operativos. Es usado por más de 200 millones de usuarios que aprecian ventajas como su capacidad para reproducir casi cualquier formato de vídeo sin necesidad de instalar códecs externos, audio y streaming.

Hace unos días, la Oficina Federal de Seguridad de la Información alemana CERT-Bund alertó de una vulnerabilidad crítica en VLC Media Player, que permitía una ejecución remota de código. Etiquetada como CVE-2019-13615, la agencia la situó en el segundo nivel de advertencia y recomendó usar alternativas. Los medios informaron de la misma masivamente, algunos de manera demasiada agresiva recomendando su «desinstalación inmediata«.

Responsables de VLC han negado que exista esa vulnerabilidad. «VLC no es vulnerable. La vulnerabilidad se encuentra en la biblioteca libebml encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código fue solucionada hace 16 meses y el parche fue incluido en la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7», dicen.

VLC explica que la supuesta vulnerabilidad fue reproducida en una versión anterior de Ubuntu 18.04, «claramente sin las bibliotecas actualizadas».

En una dura declaración, responsables del reproductor lamentan que no se haya contactado con ellos antes de emitir una vulnerabilidad CVE inexistente en lo que es «una violación de las propias políticas» de MITRE que fue quien la emitió. También se quejan de la falta de respuesta ante la puntuación de 9,8 (crítica) cuando la correcta hubiera sido de 5,5 (ya corregida).

También sacuden a medios como Gizmodo por lanzar una información «alarmista y no contrastada» en la que pedían la «desinstalación inmediata». «Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y muchos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad».

«¿Se comportaría @MITREcorp de la misma manera si fuéramos Microsoft u otra gran empresa?», se preguntan. «Pero no, solo somos una pequeña organización sin fines de lucro, que ni siquiera tiene el dinero para pagarle a alguien a tiempo completo», recalcan. Claramente, nos falta mucho que avanzar en materia de seguridad, pero también en comunicación de las vulnerabilidades. Comunicación VLC