Una grave vulnerabilità è stata identificata nell’ultima versione del noto e diffuso player VLC. Il problema consta nel fatto che, seppur divulgata, la vulnerabilità rimane al momento aperta e rappresenta pertanto per tutti gli utenti del player una porta aperta a possibili attacchi dall’esterno.
VLC 3.0.7.1, grave vulnerabilità
La versione coinvolta è la 3.0.7.1, l’ultima diramata, ma non si esclude che possano essere coinvolte anche versioni antecedenti del software. VLC, software open source per la riproduzione e la decodifica di file multimediali, sarebbe vulnerabile tanto nella release per Windows, quanto in quelle per Linux e Unix. Secondo quanto descritto dal Computer Emergency Response Team tedesco, un possibile attacco remoto consentirebbe di carpire informazioni dal pc e manipolare file, pertanto con gravi conseguenze sul sistema.
La falla è grave (4 su 5 nella scala usata dal CERT), il software è ampiamente diffuso e al momento non sono disponibili soluzioni in grado di risolvere il problema. Un eventuale attacco non richiederebbe privilegi, né è richiesta una qualsivoglia interazione da parte dell’utente. L’attacco può dunque avvenire in modo silente e con grave impatto.
Ma VideoLAN non ci sta
VideoLAN, responsabile dello sviluppo di VLC, non sembra però essere dello stesso avviso e con un tweet spazza via gran parte dei dubbi:
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly…
— VideoLAN (@videolan) July 23, 2019
Il gruppo conferma il problema, insomma, ma esclude ogni possibile conseguenza. L’attacco non sarebbe facilmente riproducibile e la pericolosità sarebbe pertanto decisamente minore rispetto a quanto raffigurato dai primi allarmi diramati.
Nell’attesa di patch risolutive che risolvano il problema a prescindere dall’impatto che lo stesso possa presentare, si raccomanda prudenza e massima attenzione a possibili aggiornamenti in arrivo fin dai prossimi giorni.