Proponha uma correção, faça uma sugestão
Equipa do VLC rejeita problemas de segurança no seu leitor multimédia
As últimas semanas têm sido críticas para o VLC ao nível de segurança. Por várias vezes surgiu uma falha e que afeta de várias formas este leitor multimédia. A maioria são graves e requerem uma correção urgente.
No entanto, a equipa do VLC veio agora a público refutar e recusar a acusação de problemas. Segundo o apresentado, a mais recente falha não existe e nem sequer foi comunicada. Há ainda acusações fortes aos métodos usados.
Uma falha de segurança grave no VLC
Foi o CERT alemão que descobriu e expôs o mais recente problema, revelando uma vulnerabilidade grave. Segundo este organismo, o VLC tem uma falha que permite a execução de código remoto, colocando em causa a segurança desta aplicação.
Ao receberem esta notícia, a equipa do leitor multimédia reagiu de imediato à informação apresentada. Recorreu ao Twitter para refutar todas as acusações e para negar que este problema exista no seu leitor multimédia.
O problema está afinal numa biblioteca externa a este leitor
Segundo o descrito, o problema não está no código da aplicação, mas sim numa biblioteca externa que é usada. O libebml é a componente afetada com esta falha de segurança detetada com este problema. É também aqui onde o problema está localizado.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
A resposta da equipa desta aplicação foi mais longe. Informou que este problema realmente existiu, mas que foi corrigido há 16 meses. Assim, esta não está presente atualmente em qualquer versão atual do VLC ou em qualquer outro software que a use.
A falha foi mal detetada deste o início dos testes do CERT
O problema parece ter estado na versão do sistema operativo usado nos testes. O Ubuntu 18.04 terá uma versão desatualizada do libebml onde o problema ainda existia. Caso fosse feita a atualização, a correção estaria presente.
Há ainda acusações, no seguimento deste Tweet, que o CERT alemão não comunicou a falha ao VLC. Ter-se-á limitado a emitir um alerta de segurança, para que ficasse registado o problema e que o VLC o corrigisse.
Este artigo tem mais de um ano
Loading ...
Fácil se querem evitar, quaisquer problemas, utilizem GlassWire firewall e bloqueiem o VLC de ter acesso a Internet bem simples.
Só quem usa para stream a que vai ter problemas. De resto utilizem um firewall e rapidamente resolvem e ficam seguros. Basta adicionar o programa e bloquear o tráfego vindo dele.
Além disso com o GlassWire firewall sabem que tipo de conexões é feita e existe um controlo maior de conexões, rede etc
Recomendo o GlassWire firewall para mim um dos melhores com uma ótima interface.
?!?!?!
Glasswire é pago
Para que paga 129 euros por essa coisa, quando a firewall do Windows faz ainda melhor?
O problema é que nem todos confiam no firewall do Windows, além de não ser nenhum pouco user-friendly como o Glasswire.
Já foi provado que se você bloquear hosts do Windows através do próprio Windows, o mesmo não é bloqueado. Por isso, necessita de algo de fora (third-party app) para tal feito.
A firewall do Windows é a pior firewall do mundo.
Concordo, no entanto pelos testes que efetuei, desde que coloques a lista todos os IP’s e servidores, não faças updates e não tenhas o login do pc a sincronizar com a microsoft, ficam todos bloqueados, incluindo os updates.
O problema é que todos os dias aparecem servidores novos alguns dos quais que passam por serviços de 3ros, sendo cada vez mais dificil atualizar a lista de host.
Se correres um ficheiro (por exemplo .mkv) que comprometa o sistema operativo para que serve bloquear o acesso do vlc á internet?!
Que engraçado, eu também rejeito as falhas de segurança do VLC. Deixo de utilizar. 😉
Essa falha de segurança nem era do vlc mas de uma biblioteca do projeto matroska (.mkv) que era utilizada e que foi já corrigida há mais de um ano. Ou seja os chicos “scientistas” espertos andavam a utilizar uma versão do vlc antigíssima. Nem vou falar da atitude pouco profissional de nem terem contactado os devs do vlc… como em várias áreas existem ovelhas negras que querem ganhar notoriedade à custa dos outros.
Neste caso a versão do VLC estava certa. O problema é que o Ubuntu não actualiza os codecs automaticamente. Exige que sejam os utilizadores a faze-lo. Foi o que aconteceu. A equipa tinha as máquinas, actualizou o programa e foi à procura de falhas, encontrou aquela e vá de chamar a atenção para o seu trabalho. Correu mal, porque qualquer pessoa que use uma distro de Linux, deve fazer actualizações semanais (na pior das piores hipóteses) ou mensais, a todo o sistema operativo. Só que terem 2000 especialistas com 4000000 doutoramentos, não lhes ensinou essa situação.
Claramente um comentário de quem não leu o artigo, a equipa do VLC não se limitou a rejeitar a falha de segurança mas demonstrou que a falha reportada não era do VLC e já não existe há mais de um ano.
E que tal a firewall SimpleWall do https://www.henrypp.org/
Segundo li nestes últimos dias esse próprio funcionário/engenheiro da VLC disse que esta era uma “fake news”,que não havia nenhuma vulnerabilidade.Ainda bem.