2010 Letture
VLC: gli autori criticano chi parla di vulnerabilità grave nel software

VLC: gli autori criticano chi parla di vulnerabilità grave nel software

Il presunto grave bug di sicurezza scoperto nel riproduttore multimediale VLC del quale tanto si sta parlando in queste ore sarebbe inesistente secondo gli autori dell'applicazione.

VLC è un lettore multimediale gratuito open source e multipiattaforma, uno dei più conosciuti e utilizzati su scala planetaria. Di recente l'applicazione è entrata nel programma europeo HackerOne volto alla ricerca e alla correzione di nuove vulnerabilità nelle applicazioni più diffuse tra gli utenti: VLC partecipa al programma europeo per la caccia ai bug e corregge tante vulnerabilità.

VLC è quindi una delle applicazioni più studiate in assoluto con gli esperti in materia di sicurezza informatica che ogni giorno ne analizzano il funzionamento alla ricerca di eventuali défaillance sfruttabili da malintenzionati e criminali informatici.

Il NIST (National Institute of Standards and Technology), agenzia del governo degli Stati Uniti d'America che si occupa della gestione delle tecnologie, ha però appena pubblicato un bollettino facente riferimento a quella che appare come una pericolosa vulnerabilità insita nell'ultima versione (release 3.0.7.1) di VLC.
Indicandola come ad elevatissima criticità (9,8 punti su 10), il NIST spiega che un malintenzionato può disporre l'esecuzione di codice dannoso sulla macchina dell'utente semplicemente spronando quest'ultimo ad aprire un file malevolo in formato MKV (Matroska - MKV - è un formato contenitore per i video, ampiamente utilizzato).




Gli sviluppatori di VLC accusano però NIST e MITRE, organizzazione statunitense senza scopo di lucro che tra l'altro gestisce il database CVE (Common Vulnerabilities and Exposures) contenente i dettagli su tutte le vulnerabilità di sicurezza scoperte nel corso del tempo, di aver gridato "al lupo, al lupo" senza verificare le fonti.


Il team di sviluppo di VLC, infatti, spiega che il problema segnalato nel bollettino CVE-2019-13615 non è riproducibile, non porta all'esecuzione di codice malevolo né provoca alcun crash del riproduttore multimediale. Il tutto è argomentato in questa discussione.

Non solo. Gli autori di VLC informano di non essere mai stati contattati per la presunta vulnerabilità in questione e, addirittura, di non aver mai ricevuto alcuna richiesta di delucidazioni per anni.



Secondo VLC, quindi, si tratterebbe di una "fake news" bella e buona, peraltro rilanciata anche dalle agenzie governative USA.
Allo stato attuale, quindi, non v'è alcun bisogno di correre a disinstallare VLC: come regola generale, comunque, è sempre bene mantenere l'applicazione aggiornata alla versione più recente e considerare come "non sicuri" tutti i file multimediali che si scaricano da sorgenti non affidabili.

VLC: gli autori criticano chi parla di vulnerabilità grave nel software