elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  VLC no es vulnerable y no tienes que desinstalarlo
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: VLC no es vulnerable y no tienes que desinstalarlo  (Leído 1,177 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
VLC no es vulnerable y no tienes que desinstalarlo
« en: 26 Julio 2019, 01:34 am »

La vulnerabilidad llevaba parcheada 16 meses y no formaba parte VLC, aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medios

Esta no es una noticia sobre una nueva vulnerabilidad como estamos acostumbrados, sino sobre los medios, el sector de la seguridad y la falta de rigor. VLC, uno de los reproductores más populares, se ha visto sumido en una campaña de desprestigio solicitando su desinstalación por un fallo ya parcheado desde hace más de un año.

La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

La razón por la que el analista de seguridad que «redescubrió» la vulnerabilidad pudo reproducirla se debe a que estaba usando una versión sin soporte de Ubuntu. En vez de contrastar si su versión era la última y qué versiones eran vulnerables, abrió un reporte por el canal incorrecto, notificándose en el bugtracker de VLC en vez de por el email privado de seguridad preparado para ello. Debido a que el fallo no era reproducible en sistemas actualizados y a la falta de información, el reporte no pudo tratarse.

Al mismo tiempo, MITRE abría un CVE para la vulnerabilidad sin contactar con el equipo de VLC a pesar de violar sus propias políticas, y por si fuera poco NVD no respondía a las peticiones de VLC solicitando que se corrigiera la información del CVE. La vulnerabilidad recibió además la puntuación de 9.8 (crítica) siendo la correcta 5.5 (ya corregida).

La prensa en vez de contrastar o comprobar en qué consistía el fallo se apresuró a publicar noticias alarmistas por la vulnerabilidad, siendo el detonante la escrita en Gizmodo con título «You Might Want to Uninstall VLC. Immediately». Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.

Los medios ya están actualizando las noticias publicadas, pero el daño ya está hecho. La reputación de VLC se ha visto dañada, y muchos usuarios habrán desinstalado el reproductor a pesar de no existir riesgo en la actualidad.

https://unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-desinstalarlo.html


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Que Consola tienes y porque la tienes « 1 2 3 »
Juegos y Consolas
duddits 27 12,837 Último mensaje 6 Septiembre 2005, 06:53 am
por keios
...........Si tienes internet...tienes llamadas gratis a 35 Paises..."voipstunt" « 1 2 ... 7 8 »
Tutoriales - Documentación
vicente101 72 73,902 Último mensaje 22 Octubre 2008, 13:32 pm
por :ohk<any>
¿Quieres ser un 'swagger'? Si tienes más de 20 años lo tienes difícil
Noticias
wolfbcn 0 1,636 Último mensaje 24 Noviembre 2014, 17:43 pm
por wolfbcn
Si tienes una de estas CPU Intel tu PC es vulnerable a 16 ataques
Noticias
El_Andaluz 0 2,041 Último mensaje 11 Febrero 2022, 03:33 am
por El_Andaluz
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines