VLC è un lettore multimediale gratuito open source e multipiattaforma, uno dei più conosciuti e utilizzati su scala planetaria. Di recente l’applicazione è entrata nel programma europeo HackerOne volto alla ricerca e alla correzione di nuove vulnerabilità nelle applicazioni più diffuse tra gli utenti: VLC partecipa al programma europeo per la caccia ai bug e corregge tante vulnerabilità.
VLC è quindi una delle applicazioni più studiate in assoluto con gli esperti in materia di sicurezza informatica che ogni giorno ne analizzano il funzionamento alla ricerca di eventuali défaillance sfruttabili da malintenzionati e criminali informatici.
Il NIST (National Institute of Standards and Technology), agenzia del governo degli Stati Uniti d’America che si occupa della gestione delle tecnologie, ha però appena pubblicato un bollettino facente riferimento a quella che appare come una pericolosa vulnerabilità insita nell’ultima versione (release 3.0.7.1) di VLC.
Indicandola come ad elevatissima criticità (9,8 punti su 10), il NIST spiega che un malintenzionato può disporre l’esecuzione di codice dannoso sulla macchina dell’utente semplicemente spronando quest’ultimo ad aprire un file malevolo in formato MKV (Matroska – MKV – è un formato contenitore per i video, ampiamente utilizzato).
Did you even check this?
No one can reproduce this issue here.— VideoLAN (@videolan) July 23, 2019
Gli sviluppatori di VLC accusano però NIST e MITRE, organizzazione statunitense senza scopo di lucro che tra l’altro gestisce il database CVE (Common Vulnerabilities and Exposures) contenente i dettagli su tutte le vulnerabilità di sicurezza scoperte nel corso del tempo, di aver gridato “al lupo, al lupo” senza verificare le fonti.
Il team di sviluppo di VLC, infatti, spiega che il problema segnalato nel bollettino CVE-2019-13615 non è riproducibile, non porta all’esecuzione di codice malevolo né provoca alcun crash del riproduttore multimediale. Il tutto è argomentato in questa discussione.
Non solo. Gli autori di VLC informano di non essere mai stati contattati per la presunta vulnerabilità in questione e, addirittura, di non aver mai ricevuto alcuna richiesta di delucidazioni per anni.
Hey @MITREcorp and @CVEnew , the fact that you NEVER ever contact us for VLC vulnerabilities for years before publishing is really not cool; but at least you could check your info or check yourself before sending 9.8 CVSS vulnerability publicly…
— VideoLAN (@videolan) July 23, 2019
Secondo VLC, quindi, si tratterebbe di una “fake news” bella e buona, peraltro rilanciata anche dalle agenzie governative USA.
Allo stato attuale, quindi, non v’è alcun bisogno di correre a disinstallare VLC: come regola generale, comunque, è sempre bene mantenere l’applicazione aggiornata alla versione più recente e considerare come “non sicuri” tutti i file multimediali che si scaricano da sorgenti non affidabili.