Světová média v čele s Gizmodem šíří zprávu o údajné kritické bezpečnostní chybě v populárním přehrávači VLC. Některá zacházejí tak daleko, že doporučují VLC okamžitě odinstalovat. Skutečnost je ovšem jiná. Chyba je ve staré verzi knihovny, kterou VLC už více než rok nepoužívá.

Jde o chybu CVE-2019-13615, která umožňuje remote code execution, tedy vykonání kódu zvoleného útočníkem. Chyba je zneužitelná pouze lokálně (je nutné přehrát "nakažený" soubor). Především ale nejde o chybu VLC jako takového, ale o problém knihovny, kterou VLC používá. A navíc jde o problém se starou verzí knihovny, kterou VLC již nepoužívá více než rok.

 

Problém je v knihovně libEBML, která se stará o zpracování metadat v některých videoformátech. EBML je standard, který umožňuje efektivně ukládat binární data v XML formátu. Používá se třeba ve formátu Matroska (soubory s příponou .mkv, .mka, .mks, .webm a další). Poslední verze VLC, která byla chybou knihovny zasažená, byla 3.0.2. Počínaje verzí 3.0.3 se nemají uživatelé čeho obávat - přičemž tato verze vyšla 29. května 2018, tedy před čtrnácti měsíci.

Riziková média

Knihovny pro práci s multimédii jsou vděčným terčem útoků. Vzpomeňme třeba chyby v knihovně Stagefright na Androidu, která před několika lety ohrožovala prakticky všechny telefony na této platformě. Kritické chyby ale byly nalezeny i v knihovnách FFmpeg, libAV, ImageMagicku a mnohých dalších. Zmiňované VLC bylo v říjnu loňského roku postiženo chybou v knihovně LIVE555, která se stará o streaming pomocí protokolu RTSP.

Kód pro zpracování obrázků, zvuků a videa je velmi citlivý a chyby se v něm dělají snadno. Typicky se z výkonových důvodů píše v nízkoúrovňových jazycích a je složitý. Přitom je snadno zneužitelný, protože stačí podvrhnout oběti správný datový soubor. V ohrožení jsou přitom více uživatelé, kteří vyhledávají obsah šířený mimo oficiální kanály.

Nestandardní postupy MITRE a německého CERT

Vývojáři projektu VideoLAN, který stojí za VLC a souvisejícím softwarem, si stěžují na nestandardní postupy americké organizace MITRE a německého CERT. Ty vydaly varování, aniž by si ověřily jeho pravdivost a vývojáře upozornily a daly jim šanci se vyjádřit, což je v rozporu s jejich vlastními pravidly.

Řada médií pak zprávu převzala a paniku šířila dál. 

 

Související
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa moderních technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů za účelem příjmu newsletteru. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru