Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon La falsa noticia sobre la supuesta nueva vulnerabilidad de VLC




Sobre el supuesto problema de seguridad en el reproductor multimedia VLC, no es cierto, no es vulnerable. El problema estaba en una biblioteca de terceros, llamada libebml, que se solucionó hace más de 16 meses. VLC desde la versión 3.0.3 tiene la versión correcta empaquetada, y MITRE ni siquiera verificó su afirmación. Aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medios Esta no es tanto una noticia sobre una nueva vulnerabilidad , sino a veces sobre la mala praxis de los medios, en el sector de la seguridad y la falta de rigor  de algunos periodistas que se limitan a copiar-pegar artículos sobre seguridad informática sin contrastar fuentes o sin tener mínimas nociones sobre lo que escriben.






VLC no es vulnerable y no tienes que desinstalarlo


 VLC, uno de los reproductores multimedia más populares, básicamente porque es gratuito, lo instalas y te olvidas de problemas para reproducir cualquier vídeo o  canción, lleve el códec que lleve, sea el formato que sea (extensión, contenido que sea, VLC lo reproduce todo mientra sea vídeo o música), se ha visto sumido en una campaña de desprestigio solicitando incluso su desinstalación por un fallo ya parcheado desde hace más de un año.




La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.




Nos apresuramos a publicar noticias alarmistas y exageradas por la vulnerabilidad, siendo uno de los detonantes la escrita en Gizmodo con título "You Might Want to Uninstall VLC. Immediately Updated: Maybe not". Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.


El problema viene de que el autor (German cybersecurity agency, CERT-Bund,) encontró una vulnerabilidad porque usa Ubuntu 18.04, una versión "vieja" de Ubuntu cuya librería no fue actualizada, por tanto VLC en Ubuntu 18.04 que no tiene la librería actualizada sí es vulnerable.

¿Ubuntu 18.04 no tiene la librería actualizada porque el autor no la actualizó o porque Ubuntu 18.04 ya no actualiza esa librería dado que ese ubuntu es una versión vieja?


La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.

Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).

La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad,

Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y puede que algunos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.

En resumen, VLC no es vulnerable y no tienes que desinstalarlo


Fuentes:
https://unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-desinstalarlo.html
https://twitter.com/videolan/status/1153963312981389312
https://www.meneame.net/m/tecnolog%C3%ADa/utilizas-vlc-tu-ordenador-esta-riesgo-este-momento-aun-no-hay

1 comentarios :

elgordo dijo...

muy bueno pero que bueno.

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.