Světová média v čele s Gizmodem šíří zprávu o údajné kritické bezpečnostní chybě v populárním přehrávači VLC. Některá zacházejí tak daleko, že doporučují VLC okamžitě odinstalovat. Skutečnost je ovšem jiná. Chyba je ve staré verzi knihovny, kterou VLC už více než rok nepoužívá.

Jde o chybu CVE-2019-13615, která umožňuje remote code execution, tedy vykonání kódu zvoleného útočníkem. Chyba je zneužitelná pouze lokálně (je nutné přehrát "nakažený" soubor). Především ale nejde o chybu VLC jako takového, ale o problém knihovny, kterou VLC používá. A navíc jde o problém se starou verzí knihovny, kterou VLC již nepoužívá více než rok.

Problém je v knihovně libEBML, která se stará o zpracování metadat v některých videoformátech. EBML je standard, který umožňuje efektivně ukládat binární data v XML formátu. Používá se třeba ve formátu Matroska (soubory s příponou .mkv, .mka, .mks, .webm a další). Poslední verze VLC, která byla chybou knihovny zasažená, byla 3.0.2. Počínaje verzí 3.0.3 se nemají uživatelé čeho obávat - přičemž tato verze vyšla 29. května 2018, tedy před čtrnácti měsíci.

Riziková média

Knihovny pro práci s multimédii jsou vděčným terčem útoků. Vzpomeňme třeba chyby v knihovně Stagefright na Androidu, která před několika lety ohrožovala prakticky všechny telefony na této platformě. Kritické chyby ale byly nalezeny i v knihovnách FFmpeg, libAV, ImageMagicku a mnohých dalších. Zmiňované VLC bylo v říjnu loňského roku postiženo chybou v knihovně LIVE555, která se stará o streaming pomocí protokolu RTSP.

Kód pro zpracování obrázků, zvuků a videa je velmi citlivý a chyby se v něm dělají snadno. Typicky se z výkonových důvodů píše v nízkoúrovňových jazycích a je složitý. Přitom je snadno zneužitelný, protože stačí podvrhnout oběti správný datový soubor. V ohrožení jsou přitom více uživatelé, kteří vyhledávají obsah šířený mimo oficiální kanály.

Nestandardní postupy MITRE a německého CERT

Vývojáři projektu VideoLAN, který stojí za VLC a souvisejícím softwarem, si stěžují na nestandardní postupy americké organizace MITRE a německého CERT. Ty vydaly varování, aniž by si ověřily jeho pravdivost a vývojáře upozornily a daly jim šanci se vyjádřit, což je v rozporu s jejich vlastními pravidly.

Řada médií pak zprávu převzala a paniku šířila dál.