VLC no es vulnerable y no tienes que desinstalarlo

La vulnerabilidad llevaba parcheada 16 meses y no formaba parte VLC, aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medios

Esta no es una noticia sobre una nueva vulnerabilidad como estamos acostumbrados, sino sobre los medios, el sector de la seguridad y la falta de rigor. VLC, uno de los reproductores más populares, se ha visto sumido en una campaña de desprestigio solicitando su desinstalación por un fallo ya parcheado desde hace más de un año.

La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.

Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).

La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad, siendo el detonante la escrita en Gizmodo con título «You Might Want to Uninstall VLC. Immediately». Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.

Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y muchos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.

Más información:

A thread written by @videolan:
https://threader.app/thread/1153963312981389312

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.