Enligt en rapport från en tysk myndighet har mediaspelaren VLC ett kritiskt säkerhetshål. Utvecklarna bakom spelaren påstår samtidigt att det inte finns något säkerhetshål och att myndigheten aldrig ens kontaktade dem.
Säkerhetshålet ska ha hittats i VLC av Tysklands Bundesamt für Sicherheit in der Informationstechnik, en federal myndighet som har hand om IT-säkerhet för den tyska regeringen. Enligt rapporten kan problemet utnyttjas genom en MKV-fil som kan få spelaren att krascha och potentiellt köra skadlig mjukvara. Säkerhetshålet, som har fått benämningen CVE-2019-13615, har klassats som kritisk för sin stora potential för att öppna en väg in i Windows, Linux och Unix. Problemet med påståendena kring säkerhetshålet är att de har möts av totala förnekanden från utvecklarna av mediaspelaren. I en post som publicerades på VideoLANs hemsida för några timmar sen skriver VideoLANs ordförande, Jean-Baptiste Kempf:
Issue is too old libebml in Ubuntu 18.04: libebml 1.3.6 fixes this issue. End of story: VLC is not vulnerable, whether this is 3.0.7.1 or even 3.0.4. The issue is in a 3rd party library, and it was fixed in VLC binaries version 3.0.3, out more than one year ago…
Utvärdera dina ”falska nyhetskällor”
VLC skyller alltså på en gammal bugg i ett tredjeparts-bibliotek som redan ska vara uppdaterat. Förnekandet kom efter flera mediarapporter om det ”kritiska” felet som VLC inte har fixat, eftersom utvecklarna anser att det inte existerar. På VideoLANs officiella Twitter-sida påstår utvecklarna att de aldrig ens kontaktades innan påståendena om felet publicerades offentligt. I en tråd om frågan kritiserade Kempf också medier som redan rapporterat om händelsen.
“If you land on this ticket through a news article claiming a critical flaw in VLC, I suggest you to read the above comment first and reconsider your (fake) news sources.”
Rapporten om säkerhetshålet är inte uppdaterad med någon ny status. Säkerhetsforskarna som först rapporterade felet ser inte ut att ha svarat på VLCs påståenden. Som det ser ut just nu är i alla fall VideoLAN säkra på sin sak: VLC har inget stort känt säkerhetshål.
