Informasi

VLC Menyengketakan Klaim Cacat Keamanan 'Kritis' Bahwa Peretas Dapat Mengakses File Anda

VLC Menyengketakan Klaim Cacat Keamanan 'Kritis' Bahwa Peretas Dapat Mengakses File Anda

VLC adalah salah satu pemutar video terpopuler di dunia, berkat versi gratisnya yang bersumber terbuka.

Sayangnya, laporan menunjukkan bahwa sifat open-source-nya mungkin juga membuatnya rentan terhadap peretas. Cacat keamanan, yang ditemukan oleh agen keamanan Jerman CERT-Bund, berarti bahwa peretas dapat mengakses file Anda melalui pemutar media.

Sebelum menghapus VLC, mungkin ada baiknya mendengarkan perwakilan pemutar video: mereka mengatakan itu semua "berita palsu."

TERKAIT: MIND-HUNTING: BISAKAH OTAK ANDA MENJADI TARGET BAGI HACKER?

Cacat yang diduga 'kritis'

Seperti yang dilaporkan Gizmodo, agen keamanan Jerman CERT-Bund menemukan kelemahan yang sangat serius (melalui WinFuture) di VLC (terdaftar sebagai CVE-2019-13615). Cacat ini diberi skor kerentanan dasar 9,8, yang mengklasifikasikannya sebagai "kritis". Gizmodo merekomendasikan untuk menghapus VLC "sampai orang-orang di Proyek VideoLAN dapat menambal kekurangannya."

Kerentanan tersebut diduga memungkinkan untuk RCE (eksekusi kode jarak jauh). Jenis cacat ini dapat memungkinkan peretas untuk menginstal, memodifikasi, atau menjalankan perangkat lunak di komputer pengguna tanpa izin. Ini juga dapat digunakan untuk mencari dan melihat-lihat file komputer.

Gizmodo melaporkan bahwa VLC versi Windows, Linux, dan Unix semuanya terpengaruh, tetapi tidak untuk versi macOS. Jika benar, itu adalah sejumlah besar pengguna yang rentan.

Namun, laporan baru menunjukkan bahwa itu adalah 'jika' yang besar.

Berita keamanan siber palsu?

Sesuai Lifehacker, laporan bug untuk masalah ini telah dibuka selama empat minggu, tetapi presiden VideoLAN dan pengembang utama VLC Jean-Baptiste Kempf baru-baru ini meninggalkan serangkaian komentar yang menyatakan bahwa laporan tersebut adalah "berita palsu."

Kempf membuat komentar berikut:

“Ini tidak merusak rilis normal VLC 3.0.7.1"

"Jika Anda mendapatkan tiket ini melalui artikel berita yang mengklaim adanya kelemahan kritis di VLC, saya sarankan Anda membaca komentar di atas terlebih dahulu dan mempertimbangkan kembali sumber berita (palsu) Anda."

“Maaf, tapi bug ini tidak dapat direkonstruksi dan tidak merusak VLC sama sekali.”

Organisasi VideoLAN, grup di belakang VLC, juga mentweet berikut ini:

Hai @MITREcorp dan @CVEnew, fakta bahwa Anda TIDAK PERNAH pernah menghubungi kami untuk kerentanan VLC selama bertahun-tahun sebelum menerbitkannya benar-benar tidak keren; tetapi setidaknya Anda dapat memeriksa info Anda atau memeriksa diri sendiri sebelum mengirimkan 9.8 kerentanan CVSS secara publik ...

- VideoLAN (@videolan) 23 Juli 2019

Mereka mengklaim bahwa masalah telah diperbaiki 18 bulan yang lalu dan VLC tidak rentan.

Tentang "masalah keamanan" di #VLC: VLC tidak rentan.
tl; dr: masalahnya ada di pustaka pihak ketiga, yang disebut libebml, yang telah diperbaiki lebih dari 16 bulan yang lalu.
VLC sejak versi 3.0.3 telah mengirimkan versi yang benar, dan @MITREcorp bahkan tidak memeriksa klaim mereka.

Benang:

- VideoLAN (@videolan) 24 Juli 2019

Pembaruan sedang berlangsung, tetapi tampaknya CERT-Bund mungkin bermasalah jika mereka benar-benar menerbitkan cacat keamanan palsu. Sementara itu, terserah Anda yang Anda percaya. Perhatikan ChangeLog VLC untuk melihat apakah ada perbaikan yang terkait dengan masalah yang muncul - atau apakah itu benar-benar hanya berita palsu.


Tonton videonya: How To Fix VLC Unable To Open MRL File (Desember 2021).