Odkryto groźną lukę w VLC Media Player

Badacze bezpieczeństwa z niemieckiego CERT odkryli niezwykle groźną lukę w jednym z najpopularniejszych odtwarzaczy multimedialnych - VLC Media Player.

VLC to odtwarzacz, którego twórcy mogą pochwalić się ponad 3 miliardami pobrań. Ile z jego edycji posiada lukę oznaczoną jako CVE-2019-13615? Tego nie wiemy, jednak pewne jest, że dostała ona status "krytycznej" (4 punkty w 5-stopniowej skali). Exploit umożliwia atakującemu nie tylko zdalne wykonanie złośliwego kodu, ale również nieautoryzowane gromadzenie i przesyłanie danych oraz nieautoryzowane modyfikacje plików i wpływ na systemowe usługi. Zanim CERT upublicznił tą informację, przekazał wiadomość o odkryciu do twórców odtwarzacza, którzy już pracują nad załataniem luki - w chwili pisania tego tekstu stan prac oceniany jest na 60%, co oznacza, że za kilka dni albo wyjdzie patch dla programu, albo jego nowa edycja - bez luki.

Do tego czasu polecamy unikanie używania VLC - niczego aplikacji nie ujmując. Warto jednak zaczekać, aż pojawi się nowa, w pełni bezpieczna wersja, której używanie nie będzie nikogo narażać na ryzyko. Poprzednia edycja aplikacji, oznaczona numerem 3.0.6, miała ponad 100 milionów pobrań, VLC 3.0.7 ukazało się 7 czerwca b.r., krótko potem doczekało mniejszej poprawki. Jednak trochę to nierozsądne ze strony CERN, że nie dało najpierw zrobił VLC łatki, a dopiero potem poinformować - być może dzięki dzisiejszej informacji, która pojawiła się w wielu serwisach technologicznych na świecie - ktoś użyje tego ukrytego wcześniej exploita.