Sem pânico: falha “grave” do VLC foi corrigida há mais de um ano
Problema de segurança no VLC alardeado pela internet estava em componente de terceiro e não existe há 16 meses
Problema de segurança no VLC alardeado pela internet estava em componente de terceiro e não existe há 16 meses
Talvez você tenha lido sobre alguma falha de segurança assustadora no VLC que abria espaço para a execução de código malicioso no seu computador. Algumas notícias mais alarmistas diziam até para você desinstalar o player de vídeo. Mas pode se acalmar: a vulnerabilidade, que estava em um componente de terceiro, foi corrigida há mais de um ano.
Tudo começou quando a agência de segurança alemã CERT-Bund reportou uma falha no VLC e teve sua descoberta divulgada pelo WinFuture. O relato se espalhou por outros sites e ganhou um identificador CVE (Common Vulnerabilities and Exposures), passando a figurar em um banco de dados público de bugs de segurança. O CVE-2019-13615 tem pontuação base de 9,8, sendo que 10,0 indica o risco mais grave possível.
Se a falha fosse explorada, um hacker poderia instalar, modificar ou executar software malicioso em qualquer computador com Windows, Linux ou sistemas operacionais baseados em Unix, com exceção do macOS, que era o único não afetado.
Pior: a vulnerabilidade era explorada de forma simples, bastando apenas que a vítima tentasse reproduzir um arquivo *.mkv com código malicioso no VLC. Embora não houvesse nenhum exploit em atividade, a brecha é considerada grave devido à abrangência: o player de vídeo poderia só fechar inesperadamente, como também poderia ser usado para acessar indevidamente qualquer arquivo da sua máquina.
Na terça-feira (23), os responsáveis pelo projeto VideoLAN se pronunciaram no Twitter, reclamando da atitude de agências de segurança que reportaram uma brecha considerada grave sem contatar previamente os desenvolvedores e sem checar as informações — contrariando seus próprios códigos de ética. Na manhã desta quarta-feira (24), a organização esclareceu que o VLC não é vulnerável.
De acordo com a VideoLAN, a falha de segurança estava na libebml, uma biblioteca do projeto Matroska que processa informações contidas em contêineres *.mkv. Só que a brecha foi corrigida há 16 meses. A responsável pelo VLC alega que a vulnerabilidade só foi relatada porque os testes foram realizados em um computador com Ubuntu 18.04 que possivelmente tinha uma versão desatualizada da libebml, um componente de terceiro.
Para quem usa os binários do VLC (ou seja, todo mundo que usa Windows e provavelmente a maioria dos usuários de outros sistemas operacionais), não há o que temer desde a versão 3.0.3, quando a libebml corrigida passou a ser incluída com o player de vídeo. O VLC está atualmente na versão 3.0.7.1.
Se você chegou a desinstalar o VLC, pode baixá-lo novamente no site oficial.
Leia | O que é VLC? (VideoLAN)