As últimas semanas têm sido críticas para o VLC ao nível de segurança. Por várias vezes surgiu uma falha e que afeta de várias formas este leitor multimédia. A maioria são graves e requerem uma correção urgente.
No entanto, a equipa do VLC veio agora a público refutar e recusar a acusação de problemas. Segundo o apresentado, a mais recente falha não existe e nem sequer foi comunicada. Há ainda acusações fortes aos métodos usados.
Uma falha de segurança grave no VLC
Foi o CERT alemão que descobriu e expôs o mais recente problema, revelando uma vulnerabilidade grave. Segundo este organismo, o VLC tem uma falha que permite a execução de código remoto, colocando em causa a segurança desta aplicação.
Ao receberem esta notícia, a equipa do leitor multimédia reagiu de imediato à informação apresentada. Recorreu ao Twitter para refutar todas as acusações e para negar que este problema exista no seu leitor multimédia.
O problema está afinal numa biblioteca externa a este leitor
Segundo o descrito, o problema não está no código da aplicação, mas sim numa biblioteca externa que é usada. O libebml é a componente afetada com esta falha de segurança detetada com este problema. É também aqui onde o problema está localizado.
About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.Thread:
— VideoLAN (@videolan) July 24, 2019
A resposta da equipa desta aplicação foi mais longe. Informou que este problema realmente existiu, mas que foi corrigido há 16 meses. Assim, esta não está presente atualmente em qualquer versão atual do VLC ou em qualquer outro software que a use.
A falha foi mal detetada deste o início dos testes do CERT
O problema parece ter estado na versão do sistema operativo usado nos testes. O Ubuntu 18.04 terá uma versão desatualizada do libebml onde o problema ainda existia. Caso fosse feita a atualização, a correção estaria presente.
Há ainda acusações, no seguimento deste Tweet, que o CERT alemão não comunicou a falha ao VLC. Ter-se-á limitado a emitir um alerta de segurança, para que ficasse registado o problema e que o VLC o corrigisse.