VLC, la vulnerabilità è grave (forse)

Una grave vulnerabilità sarebbe presente nel noto software VLC, ma VideoLAN sminuisce il pericolo e rasserena l'utenza in attesa di patch risolutive.
Una grave vulnerabilità sarebbe presente nel noto software VLC, ma VideoLAN sminuisce il pericolo e rasserena l'utenza in attesa di patch risolutive.

Una grave vulnerabilità è stata identificata nell’ultima versione del noto e diffuso player VLC. Il problema consta nel fatto che, seppur divulgata, la vulnerabilità rimane al momento aperta e rappresenta pertanto per tutti gli utenti del player una porta aperta a possibili attacchi dall’esterno.

VLC 3.0.7.1, grave vulnerabilità

La versione coinvolta è la 3.0.7.1, l’ultima diramata, ma non si esclude che possano essere coinvolte anche versioni antecedenti del software. VLC, software open source per la riproduzione e la decodifica di file multimediali, sarebbe vulnerabile tanto nella release per Windows, quanto in quelle per Linux e Unix. Secondo quanto descritto dal Computer Emergency Response Team tedesco, un possibile attacco remoto consentirebbe di carpire informazioni dal pc e manipolare file, pertanto con gravi conseguenze sul sistema.

La falla è grave (4 su 5 nella scala usata dal CERT), il software è ampiamente diffuso e al momento non sono disponibili soluzioni in grado di risolvere il problema. Un eventuale attacco non richiederebbe privilegi, né è richiesta una qualsivoglia interazione da parte dell’utente. L’attacco può dunque avvenire in modo silente e con grave impatto.

Ma VideoLAN non ci sta

VideoLAN, responsabile dello sviluppo di VLC, non sembra però essere dello stesso avviso e con un tweet spazza via gran parte dei dubbi:

Il gruppo conferma il problema, insomma, ma esclude ogni possibile conseguenza. L’attacco non sarebbe facilmente riproducibile e la pericolosità sarebbe pertanto decisamente minore rispetto a quanto raffigurato dai primi allarmi diramati.

Nell’attesa di patch risolutive che risolvano il problema a prescindere dall’impatto che lo stesso possa presentare, si raccomanda prudenza e massima attenzione a possibili aggiornamenti in arrivo fin dai prossimi giorni.

Fonte: CERT-Bund
Link copiato negli appunti

Ti potrebbe interessare

24 07 2019
Link copiato negli appunti