Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
La falsa noticia sobre la supuesta nueva vulnerabilidad de VLC
sábado, 27 de julio de 2019
|
Publicado por
el-brujo
|
Editar entrada
Sobre el supuesto problema de seguridad en el reproductor multimedia VLC, no es cierto, no es vulnerable. El
problema estaba en una biblioteca de terceros, llamada libebml, que se
solucionó hace más de 16 meses. VLC desde la versión 3.0.3 tiene la
versión correcta empaquetada, y MITRE ni siquiera verificó su
afirmación. Aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medios Esta no es tanto una noticia sobre una nueva vulnerabilidad , sino a veces sobre la mala praxis de los medios, en el sector de la seguridad y la falta de rigor de algunos periodistas que se limitan a copiar-pegar artículos sobre seguridad informática sin contrastar fuentes o sin tener mínimas nociones sobre lo que escriben.
VLC, uno de los reproductores multimedia más populares, básicamente porque es gratuito, lo instalas y te olvidas de problemas para reproducir cualquier vídeo o canción, lleve el códec que lleve, sea el formato que sea (extensión, contenido que sea, VLC lo reproduce todo mientra sea vídeo o música), se ha visto sumido en una campaña de desprestigio solicitando incluso su desinstalación por un fallo ya parcheado desde hace más de un año.
La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.
Nos apresuramos a publicar noticias alarmistas y exageradas por la vulnerabilidad, siendo uno de los detonantes la escrita en Gizmodo con título "You Might Want to Uninstall VLC. Immediately Updated: Maybe not". Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.
El problema viene de que el autor (German cybersecurity agency, CERT-Bund,) encontró una vulnerabilidad porque usa Ubuntu 18.04, una versión "vieja" de Ubuntu cuya librería no fue actualizada, por tanto VLC en Ubuntu 18.04 que no tiene la librería actualizada sí es vulnerable.
¿Ubuntu 18.04 no tiene la librería actualizada porque el autor no la actualizó o porque Ubuntu 18.04 ya no actualiza esa librería dado que ese ubuntu es una versión vieja?
La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.
Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).
La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad,
Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y puede que algunos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.
En resumen, VLC no es vulnerable y no tienes que desinstalarlo
Fuentes:
https://unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-desinstalarlo.html
https://twitter.com/videolan/status/1153963312981389312
https://www.meneame.net/m/tecnolog%C3%ADa/utilizas-vlc-tu-ordenador-esta-riesgo-este-momento-aun-no-hay
VLC no es vulnerable y no tienes que desinstalarlo
VLC, uno de los reproductores multimedia más populares, básicamente porque es gratuito, lo instalas y te olvidas de problemas para reproducir cualquier vídeo o canción, lleve el códec que lleve, sea el formato que sea (extensión, contenido que sea, VLC lo reproduce todo mientra sea vídeo o música), se ha visto sumido en una campaña de desprestigio solicitando incluso su desinstalación por un fallo ya parcheado desde hace más de un año.
- You Might Want to Uninstall VLC. Immediately Updated: Maybe Not
- https://fossbytes.com/vlc-media-player-has-critical-security-flaw-uninstall-now/
- Si utilizas VLC tu ordenador está en riesgo en este momento, aún no hay solución para su última vulnerabilidad crítica
and then, of course, @Gizmodo decided to play the clickbaiting of "Uninstall VLC now, or you are all going to die". Of course, @Gizmodo did not contact at all to check their info.— VideoLAN (@videolan) July 24, 2019
And then, we got hundreds of article about VLC insecurity.
La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.
Nos apresuramos a publicar noticias alarmistas y exageradas por la vulnerabilidad, siendo uno de los detonantes la escrita en Gizmodo con título "You Might Want to Uninstall VLC. Immediately Updated: Maybe not". Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.
El problema viene de que el autor (German cybersecurity agency, CERT-Bund,) encontró una vulnerabilidad porque usa Ubuntu 18.04, una versión "vieja" de Ubuntu cuya librería no fue actualizada, por tanto VLC en Ubuntu 18.04 que no tiene la librería actualizada sí es vulnerable.
¿Ubuntu 18.04 no tiene la librería actualizada porque el autor no la actualizó o porque Ubuntu 18.04 ya no actualiza esa librería dado que ese ubuntu es una versión vieja?
La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.
Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).
La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad,
Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y puede que algunos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.
En resumen, VLC no es vulnerable y no tienes que desinstalarlo
Fuentes:
https://unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-desinstalarlo.html
https://twitter.com/videolan/status/1153963312981389312
https://www.meneame.net/m/tecnolog%C3%ADa/utilizas-vlc-tu-ordenador-esta-riesgo-este-momento-aun-no-hay
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
1 comentarios :
muy bueno pero que bueno.
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.