VLC afetado por um BUG nota 9.8? Não...

1. VLC afetado por um BUG nota 9.8? Não...

Perfil removido
removido

(usa Nenhuma)

Enviado em 25/07/2019 - 14:38h

Boa tarde,

Os senhores tem acompanhado as notícias sobre o VLC?

O meu Google News está disparando há uns dois ou três dias notícias sobre o mesmo.

Para quem ainda não viu a respeito, a agência de segurança CERT-Bund postou um aviso de
uma vulnerabilidade encontrada no VLC com nota de severidade 9.8, sendo 10 a máxima.

O bug é do tipo "buffer overflow" e possibilita que um arquivo de vídeo mal
intencionado do tipo .MKV que foi feito o download da internet, quando executado
possa acessar e tomar diversos recursos do usuário e do sistema e depois daí a imaginação
é o limite.

Ninguém esperou os devs do VLC falarem nada... E então se formou uma enxurrada de notícias
falando para desinstalar, sim, desinstalar o VLC IMEDIATMENTE.
Quando é achado uma vulnerabilidade muito grave ainda sem um "patch" de atualização,
a recomendação técnica é essa mesma.

Porém, o grupo CERT-Bund sequer contactou os devs do VLC sobre o bug antes de
postarem a notificação. A resposta dos devs do VLC foi mais ou menos:
"Vocês sequer [re]checaram? Podiam ter pedido para alguém checar antes ou tê-lo feito
isso vocês mesmos."

Mais respostas dos devs logo após indicam que a vulnerabilidade não dá nem para ser reproduzida!
Depois foram ver que o problema não era nem o VLC. O bug está presente em uma livraria
antiga do Ubuntu. Isso mesmo, uma lib antiga! Se os caras do CERT-Bund tivessem atualizado
o Ubuntu deles, não teriam nem encontrado esse bug...

A livraria e o VLC sofreram um patch há mais de um ano e meio que cuidou desse bug já.

Já até baixaram a nota de 9.8 para 5.5..
https://www.theinquirer.net/inquirer/news/3079540/vlc-flaw-downgraded-videolan-fix

Aparentemente, ninguém tem que se preocupar.

Fico pensando, será que não é uma estratégica barata para difamarem o VLC?
Tipo, até pq muitos desses sites de tecnologia, recomendaram instalar o Windows Media Player
no lugar do VLC até essa história ficar esclarecida! kk

Aqui os sites com manchetes alarmistas que vi por aí. Algumas já até fizeram um Update...

VLC Media Player tem falha grave de segurança; entenda riscos
https://www.techtudo.com.br/noticias/2019/07/vlc-media-player-tem-falha-grave-de-seguranca-entenda-r...
Falha crítica no VLC Media Player permite que um atacante possa executar código remotamente
https://www.welivesecurity.com/br/2019/07/23/falha-critica-no-vlc-media-player-permite-que-um-atacan...
You Might Want To Uninstall VLC. Right Now. Immediately.
https://www.gizmodo.com.au/2019/07/you-might-want-to-uninstall-vlc-immediately/
Here's Why You Need To Uninstall VLC Media Player Right Now!
https://in.mashable.com/tech/5104/heres-why-you-need-to-uninstall-vlc-media-player-right-now
You Might Want to Uninstall VLC. Immediately. [Updated: Maybe Not]
https://gizmodo.com/you-might-want-to-uninstall-vlc-immediately-1836641101
VideoLAN says VLC security flaw is fixed
https://www.pcgamer.com/vlc-media-player-has-a-critical-security-flaw/
VLC Media Player Plagued By Unpatched Critical RCE Flaw
https://threatpost.com/vlc-media-player-plagued-by-unpatched-critical-rce-flaw/146611/
Uninstall VLC: Critical security bug plagues media player
https://www.newsbytesapp.com/timeline/Science/49237/224829/uninstall-vlc-media-player-right-away
No, You Don’t Need to Uninstall VLC
https://www.howtogeek.com/434487/no-you-dont-need-to-uninstall-vlc/
VLC Media Player doesn't have any 'vulnerabilities', claims devs
https://timesofindia.indiatimes.com/gadgets-news/why-you-need-to-uninstall-vlc-media-player-immediat...

PPS: It seems that the gizmodo article was nothing more than clickbait, or relied on someone with an older version of VLC downloading (and playing in VLC) a malicious .mkv file

VLC is fine, don't play suspicious .mkv files.
https://www.steamgifts.com/discussion/5Dm7w/vlc-is-fine-dont-play-suspicious-mkv-files
VLC Media Player Has Critical Security Flaw [Updated: Devs Deny All Claims]
https://fossbytes.com/vlc-media-player-has-critical-security-flaw-uninstall-now/
Keep Calm, Carry On. VLC Not Affected by Critical Vulnerability
https://www.bleepingcomputer.com/news/security/keep-calm-carry-on-vlc-not-affected-by-critical-vulne...
VideoLAN says VLC security flaw is fixed
https://www.pcgamer.com/au/vlc-media-player-has-a-critical-security-flaw/
Confusion about a recently disclosed vulnerability in VLC Media Player
https://www.ghacks.net/2019/07/24/confusion-critical-vlc-media-player-vulnerability/
Sem pânico: falha “grave” do VLC foi corrigida há mais de um ano
https://tecnoblog.net/299842/falha-grave-vlc-libeml-panico-na-internet-desinstalem-isso-aaaaaa/


Na minha pesquisa aqui, lembro que faz poucos dias que vi notícias sobre o novo update
para 3.0.7 que foi o MAIOR update do VLC para correção de BUGS, graças ao programa
de BUG BOUNTY que eles tinham lançado....

Ou seja, o VLC está melhor do que nunca!
Vejam essas três reportagens recentes que falam das últimas atualizações do VLC...
https://www.bleepingcomputer.com/news/software/vlc-307-is-biggest-security-release-due-to-eu-bounty-...
https://threatpost.com/vlc-player-gets-patched-for-two-high-severity-bugs/145518/
https://nakedsecurity.sophos.com/2019/06/26/vlc-media-player-gets-biggest-security-update-ever/

Mas tem uma reportagem da ZDNET que exclarece toda essa história. parece que já até tinham previsto.
Olhem a manchete (tradução livre):
Bug bounty impulsiona a maior atualização do VLC, mas atrai 'filhos da mãe, criancinhas com scripts e enganadores profissas'

Bug bounty drives VLC's biggest patch but attracts 'a-holes, scriptkiddies, scammers'
https://www.zdnet.com/article/bug-bounty-drives-vlcs-biggest-patch-but-attracts-a-holes-scriptkiddie...

Eu acho que isso aí foi armação programada de um A-HOLE....

A dica melhor que eu vi até agora foi:
"não tocar arquivos MKV desconhecidos da internet no VLC até tudo ficar bem esclarecido."


  


2. Re: VLC afetado por um BUG nota 9.8? Não...

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 25/07/2019 - 16:34h

VLC na minha opinião é de longe o melhor player de vídeo para Gnu/Linux e Windows, não sei como anda as coisas no bsd e mac, talvez quem chega perto em recursos seja o mplayer e derivados.

E like pela qualidade do tópico!




--------------------------------------------------------------------------
Somente o Software Livre lhe garante as 4 liberdades.
Open Source =/= Free Software.
https://encurtador.com.br/CGNU5
http://www.anahuac.eu/contrarrevolucao-osi/




***Twitter***
https://twitter.com/Giovanni_Ann88

***Pensando em investir em bitcoins ? veja este vídeo***
https://www.youtube.com/watch?v=jhBE3MUFxQU


3. Re: VLC afetado por um BUG nota 9.8? Não...

4. Re: VLC afetado por um BUG nota 9.8? Não...

Perfil removido
removido

(usa Nenhuma)

Enviado em 11/08/2019 - 16:24h

por mim, tanto faz.
nunca consegui usar aquilo.
muito bugado
sou mais o MPV...
mas aí, é de cada um...



5. E a fakenews ataca novamente...

Cézar Augusto
cizordj

(usa Debian)

Enviado em 12/08/2019 - 09:35h

Só para esclarecer os caras que acharam esse bug usavam o Ubuntu 18.04 de acordo com a video Lan
https://twitter.com/videolan/status/1153965971012562944

Como medida temporária recomenda-se o uso do VLC em forma de SNAP onde se encontra com as biblioteca em suas últimas versões ao invés de usar a versão nativa do gerenciador de pacotes APT.

<---------------------------------------------------------------->
O seu tempo é o único bem que você não recupera


6. Re: VLC afetado por um BUG nota 9.8? Não...

Ricardo Fabiano Silva
madrugada

(usa Gentoo)

Enviado em 12/08/2019 - 09:55h

Por fim, era um bug do Ubuntu, não do VLC.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts