Uppdaterat: Omtvistad sårbarhet i VLC Media Player

Igår skrev vi om hur tyska Cert-bund hade hittat ytterligare en sårbarhet i den populära mediaspelaren VLC Media Player. Så här skrev vi i artikeln.

Den populära mediaspelaren VLC har haft en jobbig start på sommaren med flera upptäckta sårbarheter. Nu har ytterligare en kritisk sårbarhet upptäckts i Windows- och Linux-versionen. Sårbarheten gör att angripare kan infektera datorer där programmet är installerat utan att användaren behöver göra något.

Förtydligande 2019-07-23: VLC måste på något vis luras att spela upp en attackpreparerad mediafil. Ovanstående formulering syftar på att det inte krävs någon ytterligare användarinteraktion (t.ex. godkännande att köra ett annat program) för att sårbarheten ska kunna utnyttjas.

Enligt säkerhetsföretaget Esets rapportering finns det än så länge inga rapporter om att sårbarheten utnyttjas i attacker. Det tur eftersom det inte heller finns någon uppdatering som åtgärdar problemet än.

Källa: Cert-bund (via Threatpost och We Live Security)

Ur ursprungsartikeln på Bli säker-bloggen

Vi rekommenderade också att välja en annan mediaspelare i väntan på en uppdatering.

I väntan på att VLC-teamet släpper en säkerhetsuppdatering bör VLC-programmet användas med största försiktighet på Windows- och Linux-datorer. Vi rekommenderar att använda andra mediaspelare under tiden och att åtminstone inte ha VLC som förvald mediaspelare. Detta gäller framförallt på datorer där nyligen nedladdade mediafiler från okända källor spelas upp. På säkerhetskritiska system bör programmet avinstalleras helt.

Ur ursprungsartikeln på Bli säker-bloggen

Nu har teamet bakom VLC stängt ärendet med hänvisning till att Cert-bunds påstådda sårbarhet inte existerar. VLC-teamets Jean-Baptiste Kempf skriver att VLC Media Player inte är sårbar och att problemet som Cert-bund upplevde berodde på att de körde en gammal version av ett tredjepartsbibliotek.

Cert-bund har inte kommenterat VLC-teamets agerande än, men i väntan på att ny information tillkommer ser vi ingen anledning till att längre avråda från användning av VLC Media Player. Jag (Karl Emil Nikka) beklagar också den troligtvis felaktiga rapporteringen. Cert-bund är Tysklands federala Computer Emerency Response Team (tyska motsvarigheten till vårt svenska Cert hos Myndigheten för samhällsskydd och beredskap), så deras utsagor har annars mycket hög trovärdighet. Ärendet fick också ett officiellt CVE-nummer av Mitre, vilket enligt VLC skedde utan att Mitre först varit i kontakt med dem.

Vi fortsätter att följa eventuella uppdateringar i ärendet via den officiella buggrapporten.