Hilo de Twitter en el que desde VideoLAN comentan por qué VLC no es vulnerable ahora mismo. Comentan: "Sobre el problema de seguridad en VLC: VLC no es vulnerable. El problema está en una biblioteca de terceros, llamada libebml, que se solucionó hace más de 16 meses. VLC desde la versión 3.0.3 tiene la versión correcta empaquetada, y@MITREcorp ni siquiera verificó su afirmación."
#10:
#5#8 Pssss, psssss... un secreto: prácticamente todo el software ha sido vulnerable en algún punto de su existencia. Si no actualizas es a lo que te arriesgas, igual que si no instalas las actualizaciones de Windows o no actualizas los paquetes de las distribuciones de linux o absolutamente cualquier cosa.
Algo que se ha arreglado hace más de 16 meses no me parece que sea motivo para alzar los brazos y correr en círculos.
#9:
#8 Pero la noticia que están desmintiendo decía, que VLC tenía una vulnerabilidad ahora. De hecho decía algo asi como si tienes instalado VLC y lo usas, tu ordenador está en riesgo... Pues no.
De hecho todos los programas son vulnerables en algún momento, si se actualizan con parches de seguridad es por algo.
#7:
#5 ¿Y de verdad te lo has leído? Directamente en el primer tuit:
"which was fixed more than 16 months ago" "VLC since version 3.0.3 has the correct version shipped"
¿O es que me estoy perdiendo algo?
#4:
#3 Si te pones así es mejor directamente que no uses ningún aparato electrónico porque casi todo el software es vulnerable aunque sea en versiones obsoletas de librerías de terceros.
#2:
#1 Lee el hilo completo. Porque tiene tela la prensa de hoy en día. No verifican nada.
#5#8 Pssss, psssss... un secreto: prácticamente todo el software ha sido vulnerable en algún punto de su existencia. Si no actualizas es a lo que te arriesgas, igual que si no instalas las actualizaciones de Windows o no actualizas los paquetes de las distribuciones de linux o absolutamente cualquier cosa.
Algo que se ha arreglado hace más de 16 meses no me parece que sea motivo para alzar los brazos y correr en círculos.
#3#8#12 Todo software existente es vulnerable ya que en alguna de sus versiones ha tenido un bug, o ha usado una biblioteca que tenía un bug si nos ponemos quisquillosos.
Lo que VLC viene a desmentir es que las ultimas versiones de VLC sean vulnerables como indican ciertos medios o sitios como el MITRE.
#10 ¿Quién ha hablado de correr en círculos? Ya he dicho en #5 que me parece un disparate dejar de usar VLC por ello.
#11 Igual me he enterado y no me parece como para bramar por ello. Pero ya veo que en menéame solo valen las posiciones extremas.
#13 Yo no soy de "mi perro se ha comido los deberes". Lo significativo de la vulnerabilidad de la librería no es la librería en sí, sino la difusión que tiene.
#14 No es ponerse quisquillosos, pero es lo que es. Vulnerabilidades del Kernel de Linux no hay muchas, del paquete completo en sus diferentes distros hay más en sus paquetes. Se usa un todo. Una vulnerabilidad en OpenPGP o OpenSSH no es importante por el paquete en sí, sino por la difusión que tiene.
#3#8#12 Otro detalle que se me ha olvidado mencionar, el CVE lo han abierto sobre VLC pero eso es incorrecto, el CVE debería ser sobre la biblioteca y si acaso listar softwares afectados al usarla.
#15 coincido en que en un mundo categórico es así.
Pero te pongo el siguiente caso práctico. Imagina que VLC ofrece recompensas por encontrar bugs. Una persona encuentra que VLC está usando una librería vulnerable. El bug es usar esa versión vulnerable, empaquetandola de forma estática. ¿Debe VLC dar la recompensa?
#16 Es un tema dificil, y creo que la mayoría de los bug bounty te lo denegarían o te daría una recompensa menor.
Si es un mal uso de la biblioteca es tu responsabilidad, si es en tu código es tu responsabilidad, si es un bug de una biblioteca externa que usas... para mi lo mas que puedes hacer es informar al investigador (que debería haber visto que era en esa biblioteca) para que que lo reporte a ellos ademas de tu mismo reportarlo e indicar la fuente original (este investigador).
En este caso en concreto el bug ya estaba solucionado a partir de cierta versión y VLC ya usaba esa versión (no se el detalle de si era por conocimiento de este bug o simplemente por mantenerlo actualizado), sin embargo Ubuntu 18.04 sigue compilando con esta vulnerable, aquí la responsabilidad es de Canonical por estar usando piezas de software con vulnerabilidades.
Pero volviendo a tu caso, suponiendo que es una nueva vulnerabilidad desconocida de una biblioteca... ¿deben todos los softwares que la usan dar una recompensa a esa persona o solo al software que le han enviado la notificación? Para mi es upstream quien tiene que encargarse, el de la biblioteca. De buena fe podría darse un reconocimiento o una recompensa menor.
#16 Ya, pero es que la versión con la biblioteca enlazada estáticamente usaba la versión parcheada, por lo que esa no era vulnerable. Las que lo eran eran las versiones incluidas en distribuciones de Linux con enlace dinámico a una versión de la biblioteca vulnerable.
#12 A mi no me parece ninguna excusa, han dicho lo que hay: el código de VLC no es vulnerable, la librería sí lo era. No tiene ningún sentido abrirles un bug a ellos y de lo que se están quejando es de las formas y de la violación de las propias políticas de la compañía que les abrió el reporte de la vulnerabilidad.
#8 Pero la noticia que están desmintiendo decía, que VLC tenía una vulnerabilidad ahora. De hecho decía algo asi como si tienes instalado VLC y lo usas, tu ordenador está en riesgo... Pues no.
De hecho todos los programas son vulnerables en algún momento, si se actualizan con parches de seguridad es por algo.
#3 Si te pones así es mejor directamente que no uses ningún aparato electrónico porque casi todo el software es vulnerable aunque sea en versiones obsoletas de librerías de terceros.
#4 Yo no he dicho tal disparate de dejar de usar. Me has dicho que lea, y mi conclusión es que han usado una librería que es vulnerable, y cuando esa vulnerabilidad se encuentra en un software ampliamente distribuido se convierte en un vector de ataque bastante jugoso para quien quiere hacer daño.
VLC no es vulnerable, la vulnerabilidad viene vino dada por una librería de terceros que usa VLC. Por tanto, lo siento pero esa librería hace hizo vulnerable a VLC.
La librería de terceros hizo vulnerable a VLC pero no pasa nada porque hace ~1 año que está parcheada y las actuales versiones de esa librería no son vulnerables, así que estamos a salvo.
Entonces ¿de donde viene el problema? ¿todo es mentira? Pues no, leamos todo el hilo:
The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.
El problema viene de que el autor encontró una vulnerabilidad porque usa Ubuntu 18.04, una versión "vieja" de Ubuntu cuya librería no fue actualizada, por tanto VLC en Ubuntu 18.04 que no tiene la librería actualizada sí es vulnerable.
¿Ubuntu 18.04 no tiene la librería actualizada porque el autor no la actualizó o porque Ubuntu 18.04 ya no actualiza esa librería dado que ese ubuntu es una versión vieja?
Porque si es lo primero, el descubridor del bug metió la pata pero si es lo segundo, tenemos un problema. Ubuntu 18.04 por mucho que le llamen viejo no tiene ni dos años y es una versión LTS que todavía está en soporte, así que VLC por culpa de esa librería sí sería vulnerable por mucho que existan versiones más actuales de Ubuntu.
Windows 10 tiene más vida que dos años, windows 7 mucha más y en ellos VLC viene con su propia librería actualizada y no es vulnerable, a pesar de que windows 7 tiene diez años ya.
#36 Mientras se siga desarrollando y actualizando LMDE, yo seguiré tirando de los repositorios de Debian. Incluso la distribución Linux Mint que tira de los repositorios de Ubuntu está mejor pergeñada.
De todas formas mi distribución Linux de cabecera sigue siendo Slackware (más bien SalixOS ahora mismo); a ver si puedo hacerles una pequeña donación a final de verano, porque lo que es admirable es que con tan poca gente, la primera distribución con kernel Linux (1993) siga en activo!!
Por cierto, VLC es una de las mejores, sino la mejor, elecciones para ver casi cualquier tipo de vídeo
#29 Para nada. Con no abrir vídeos con VLC es suficiente y dudo que tarden mucho los de Ubuntu en actualizarlo. Además, en mi caso uso un derivado de Ubuntu y por defecto utiliza otro reproductor de vídeo.
He mirado el listado de cambios de libebml en Mint18 (Ubuntu 16 todavía con soporte) y el 24 ha recibido una actualización de seguridad, ¿alguien puede contrastar el CVE?
* SECURITY UPDATE: heap-based out of bounds read
- debian/patches/CVE-2019-13615-1.patch: check the max size to read
before actually reading in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-2.patch: do not output an element with
size Unknown if it's not allowed in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-3.patch: exit the max size loop when
there's nothing left possible to find in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-4.patch: rework the way we look at the
end boundary when looking an element in a parent in
src/EbmlElement.cpp.
- CVE-2019-13615
-- Marc Deslauriers Wed, 24 Jul 2019 14:03:37 -0400
#31 En Ubuntu 16.04 tengo la 1.3.3 y veo que hace dos días recibió un parche de seguridad para CVE-2019-13615. Lo he pegado en #40 (En realidad uso Mint 18.3 que está basado en Ubuntu 16.04)
#28 Sam Morris añadió que la versión de la biblioteca incluida en Ubuntu 18.04 es la 1.3.5-2, y Morgan Collet contesta que Ubuntu suele aplicar parches sin cambiar la versión del paquete (de ahí ese "-2") y que podría ser que ya está parcheado.
#33 De todas formas, es una suposicion de ese twittero. Para salir de dudas habría que buscar el changelog de Ubuntu para ese paquete para ver si esa subversión corrigió el fallo
#28 [...] Windows 10 tiene más vida que dos años, windows 7 mucha más y en ellos VLC viene con su propia librería actualizada y no es vulnerable, a pesar de que windows 7 tiene diez años ya. [...]
Uso una distro con tres años y recibo actualizaciones. De hecho, hay un soporte extendido premium que lo ampliaba hasta 10 años, el cual leí que ahora lo implementarían de serie todas las LTS (versiones extendidas)
Tampoco puedes comparar un producto por el que has pagado un dinero considerable y del que además tmb se subvenciona con lo que te espía o apps que te cuela, como XBOX store, siendo además complicado de quitar. Todo esto contra un producto libre, gratuito y más respetuoso con tu privacidad.
Lo que pasa que por alguna razón Ubuntu no debe haber actualizado esa Librería, pero a veces, aunque no actualicen a la última versión, les suelen aplicar parches de seguridad, es lo bueno del software open source. No creo que tarden en corregirlo, y será un tirón de orejas para Ubuntu, que seguro no saldrán con la típica frase de Microsoft, de It's not a bug, it's a feature, pues por ejemplo Microsoft Office tiene fallos que están y estarán por años...
El único problema de Linux es que todo el mundo sabe trastear mínimamente en Windows, por que han crecido con ello y todos el soporte de fabricantes y desarrolladores va hacia Windows, esto hace que Windows al final sea un producto fácil y Linux mucho más complicado para un usuario raso. Pero de todas todas lo considero un mejor producto, auinque no apto para todos pero sí para muchos más que antes.
Si los proyectos opensource demandaran a periodistas por difamación las cosas serían muy distintas, ya que dudo mucho que los periodistas corrijan titulares.
#25 Díselo a todos los medios del tipo Weblogs SL y compañía (Xataka, Genbeta, Gizmodo ...) que corrieron en tromba a dar la supuesta noticia mal traducida y peor redactada.
Comentarios
#5 #8 Pssss, psssss... un secreto: prácticamente todo el software ha sido vulnerable en algún punto de su existencia. Si no actualizas es a lo que te arriesgas, igual que si no instalas las actualizaciones de Windows o no actualizas los paquetes de las distribuciones de linux o absolutamente cualquier cosa.
Algo que se ha arreglado hace más de 16 meses no me parece que sea motivo para alzar los brazos y correr en círculos.
#10 claro, pero la excusa de yo no he tenido vulnerabilidades, lo ha tenido otra librería (que uso), me parece mala.
Un simple: se corrigió importando una versión actualizada de la librería hace 18 meses, creo que sería mejor
#3 #8 #12 Todo software existente es vulnerable ya que en alguna de sus versiones ha tenido un bug, o ha usado una biblioteca que tenía un bug si nos ponemos quisquillosos.
Lo que VLC viene a desmentir es que las ultimas versiones de VLC sean vulnerables como indican ciertos medios o sitios como el MITRE.
#10 ¿Quién ha hablado de correr en círculos? Ya he dicho en #5 que me parece un disparate dejar de usar VLC por ello.
#11 Igual me he enterado y no me parece como para bramar por ello. Pero ya veo que en menéame solo valen las posiciones extremas.
#13 Yo no soy de "mi perro se ha comido los deberes". Lo significativo de la vulnerabilidad de la librería no es la librería en sí, sino la difusión que tiene.
#14 No es ponerse quisquillosos, pero es lo que es. Vulnerabilidades del Kernel de Linux no hay muchas, del paquete completo en sus diferentes distros hay más en sus paquetes. Se usa un todo. Una vulnerabilidad en OpenPGP o OpenSSH no es importante por el paquete en sí, sino por la difusión que tiene.
#15 En eso estoy de acuerdo
#3 #8 #12 Otro detalle que se me ha olvidado mencionar, el CVE lo han abierto sobre VLC pero eso es incorrecto, el CVE debería ser sobre la biblioteca y si acaso listar softwares afectados al usarla.
#15 coincido en que en un mundo categórico es así.
Pero te pongo el siguiente caso práctico. Imagina que VLC ofrece recompensas por encontrar bugs. Una persona encuentra que VLC está usando una librería vulnerable. El bug es usar esa versión vulnerable, empaquetandola de forma estática. ¿Debe VLC dar la recompensa?
(Es simple diálogo)
#16 Es un tema dificil, y creo que la mayoría de los bug bounty te lo denegarían o te daría una recompensa menor.
Si es un mal uso de la biblioteca es tu responsabilidad, si es en tu código es tu responsabilidad, si es un bug de una biblioteca externa que usas... para mi lo mas que puedes hacer es informar al investigador (que debería haber visto que era en esa biblioteca) para que que lo reporte a ellos ademas de tu mismo reportarlo e indicar la fuente original (este investigador).
En este caso en concreto el bug ya estaba solucionado a partir de cierta versión y VLC ya usaba esa versión (no se el detalle de si era por conocimiento de este bug o simplemente por mantenerlo actualizado), sin embargo Ubuntu 18.04 sigue compilando con esta vulnerable, aquí la responsabilidad es de Canonical por estar usando piezas de software con vulnerabilidades.
Pero volviendo a tu caso, suponiendo que es una nueva vulnerabilidad desconocida de una biblioteca... ¿deben todos los softwares que la usan dar una recompensa a esa persona o solo al software que le han enviado la notificación? Para mi es upstream quien tiene que encargarse, el de la biblioteca. De buena fe podría darse un reconocimiento o una recompensa menor.
#16 Ya, pero es que la versión con la biblioteca enlazada estáticamente usaba la versión parcheada, por lo que esa no era vulnerable. Las que lo eran eran las versiones incluidas en distribuciones de Linux con enlace dinámico a una versión de la biblioteca vulnerable.
#12 A mi no me parece ninguna excusa, han dicho lo que hay: el código de VLC no es vulnerable, la librería sí lo era. No tiene ningún sentido abrirles un bug a ellos y de lo que se están quejando es de las formas y de la violación de las propias políticas de la compañía que les abrió el reporte de la vulnerabilidad.
#8 Pero la noticia que están desmintiendo decía, que VLC tenía una vulnerabilidad ahora. De hecho decía algo asi como si tienes instalado VLC y lo usas, tu ordenador está en riesgo... Pues no.
De hecho todos los programas son vulnerables en algún momento, si se actualizan con parches de seguridad es por algo.
#5 ¿Y de verdad te lo has leído? Directamente en el primer tuit:
"which was fixed more than 16 months ago" "VLC since version 3.0.3 has the correct version shipped"
¿O es que me estoy perdiendo algo?
#7 vamos, que se demuestra que VLC era vulnerable por transitividad (por empaquetar una librería vulnerable) hasta la versión 3.0.3
#3 Si te pones así es mejor directamente que no uses ningún aparato electrónico porque casi todo el software es vulnerable aunque sea en versiones obsoletas de librerías de terceros.
#4 Yo no he dicho tal disparate de dejar de usar. Me has dicho que lea, y mi conclusión es que han usado una librería que es vulnerable, y cuando esa vulnerabilidad se encuentra en un software ampliamente distribuido se convierte en un vector de ataque bastante jugoso para quien quiere hacer daño.
#5 Solo me queda claro que no te has enterado.
No puede estar mas claro -->
A ver si nos aclaramos y leemos todo el hilo:
VLC no es vulnerable, la vulnerabilidad
vienevino dada por una librería de terceros que usa VLC. Por tanto, lo siento pero esa libreríahacehizo vulnerable a VLC.La librería de terceros hizo vulnerable a VLC pero no pasa nada porque hace ~1 año que está parcheada y las actuales versiones de esa librería no son vulnerables, así que estamos a salvo.
Entonces ¿de donde viene el problema? ¿todo es mentira? Pues no, leamos todo el hilo:
The reporter is using Ubuntu 18.04, which is an old version of Ubuntu, and clearly has not all the updated libraries.
El problema viene de que el autor encontró una vulnerabilidad porque usa Ubuntu 18.04, una versión "vieja" de Ubuntu cuya librería no fue actualizada, por tanto VLC en Ubuntu 18.04 que no tiene la librería actualizada sí es vulnerable.
¿Ubuntu 18.04 no tiene la librería actualizada porque el autor no la actualizó o porque Ubuntu 18.04 ya no actualiza esa librería dado que ese ubuntu es una versión vieja?
Porque si es lo primero, el descubridor del bug metió la pata pero si es lo segundo, tenemos un problema. Ubuntu 18.04 por mucho que le llamen viejo no tiene ni dos años y es una versión LTS que todavía está en soporte, así que VLC por culpa de esa librería sí sería vulnerable por mucho que existan versiones más actuales de Ubuntu.
Windows 10 tiene más vida que dos años, windows 7 mucha más y en ellos VLC viene con su propia librería actualizada y no es vulnerable, a pesar de que windows 7 tiene diez años ya.
#28 Entonces, desde mi ignorancia, los que tienen ubuntu 18.04 o SO basados en ese sistema ¿tienen que quitar vlc de sus ordenadores?
#28 #29 En cualquier caso lo que nunca nadie debería usar es Ubuntu, es una pésima distribución en todos los sentidos.
#36 Mientras se siga desarrollando y actualizando LMDE, yo seguiré tirando de los repositorios de Debian. Incluso la distribución Linux Mint que tira de los repositorios de Ubuntu está mejor pergeñada.
De todas formas mi distribución Linux de cabecera sigue siendo Slackware (más bien SalixOS ahora mismo); a ver si puedo hacerles una pequeña donación a final de verano, porque lo que es admirable es que con tan poca gente, la primera distribución con kernel Linux (1993) siga en activo!!
Por cierto, VLC es una de las mejores, sino la mejor, elecciones para ver casi cualquier tipo de vídeo
#29 Para nada. Con no abrir vídeos con VLC es suficiente y dudo que tarden mucho los de Ubuntu en actualizarlo. Además, en mi caso uso un derivado de Ubuntu y por defecto utiliza otro reproductor de vídeo.
He mirado el listado de cambios de libebml en Mint18 (Ubuntu 16 todavía con soporte) y el 24 ha recibido una actualización de seguridad, ¿alguien puede contrastar el CVE?
libebml (1.3.3-1ubuntu0.1) xenial-security; urgency=medium
* SECURITY UPDATE: heap-based out of bounds read
- debian/patches/CVE-2019-13615-1.patch: check the max size to read
before actually reading in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-2.patch: do not output an element with
size Unknown if it's not allowed in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-3.patch: exit the max size loop when
there's nothing left possible to find in src/EbmlElement.cpp.
- debian/patches/CVE-2019-13615-4.patch: rework the way we look at the
end boundary when looking an element in a parent in
src/EbmlElement.cpp.
- CVE-2019-13615
-- Marc Deslauriers Wed, 24 Jul 2019 14:03:37 -0400
#31 En Ubuntu 16.04 tengo la 1.3.3 y veo que hace dos días recibió un parche de seguridad para CVE-2019-13615. Lo he pegado en #40 (En realidad uso Mint 18.3 que está basado en Ubuntu 16.04)
#28 Sam Morris añadió que la versión de la biblioteca incluida en Ubuntu 18.04 es la 1.3.5-2, y Morgan Collet contesta que Ubuntu suele aplicar parches sin cambiar la versión del paquete (de ahí ese "-2") y que podría ser que ya está parcheado.
#32 GOTO #31
#33 De todas formas, es una suposicion de ese twittero. Para salir de dudas habría que buscar el changelog de Ubuntu para ese paquete para ver si esa subversión corrigió el fallo
#28 Para los que querais saber los SO que tienen una versión vulnerable de esta librería, podéis comprobarlo en el siguiente enlace: https://repology.org/project/libebml/versions
Ubuntu 18.04 tiene la versión 1.3.5, cuando la versión corregida es la 1.3.6
#28 [...] Windows 10 tiene más vida que dos años, windows 7 mucha más y en ellos VLC viene con su propia librería actualizada y no es vulnerable, a pesar de que windows 7 tiene diez años ya. [...]
Uso una distro con tres años y recibo actualizaciones. De hecho, hay un soporte extendido premium que lo ampliaba hasta 10 años, el cual leí que ahora lo implementarían de serie todas las LTS (versiones extendidas)
https://www.locurainformaticadigital.com/2018/11/20/ubuntu-18-04-lts-extendio-soporte-hasta-10-anos/
https://wiki.ubuntu.com/Releases
Tampoco puedes comparar un producto por el que has pagado un dinero considerable y del que además tmb se subvenciona con lo que te espía o apps que te cuela, como XBOX store, siendo además complicado de quitar. Todo esto contra un producto libre, gratuito y más respetuoso con tu privacidad.
Con Ubuntu además, cuando llegues al fin de soporte puedes actualizar fácilmente sin que aprovechen a meterte tanta mierda como en los Windows ni que tengas que volver a pasar por caja: https://maslinux.es/como-actualizar-ubuntu-con-un-solo-comando/
Lo que pasa que por alguna razón Ubuntu no debe haber actualizado esa Librería, pero a veces, aunque no actualicen a la última versión, les suelen aplicar parches de seguridad, es lo bueno del software open source. No creo que tarden en corregirlo, y será un tirón de orejas para Ubuntu, que seguro no saldrán con la típica frase de Microsoft, de It's not a bug, it's a feature, pues por ejemplo Microsoft Office tiene fallos que están y estarán por años...
El único problema de Linux es que todo el mundo sabe trastear mínimamente en Windows, por que han crecido con ello y todos el soporte de fabricantes y desarrolladores va hacia Windows, esto hace que Windows al final sea un producto fácil y Linux mucho más complicado para un usuario raso. Pero de todas todas lo considero un mejor producto, auinque no apto para todos pero sí para muchos más que antes.
Suena a FUD en toda regla...
#22 Tienes razón, fueron muchos: Gizmodo, Genbeta, AndroidPIT y un larguisimo etc...
Si los proyectos opensource demandaran a periodistas por difamación las cosas serían muy distintas, ya que dudo mucho que los periodistas corrijan titulares.
#21 No fue un periodista, fue la agencia de seguridad alemana CERT-Bund.:
https://www.neowin.net/news/german-cybersecurity-agency-identifies-critical-flaw-in-vlc-media-player
Pues se debería dar un toque de atención a los "medios de comunicación" que todavía tienen artículos en plan ¡Desinstalad VLC, insensatos!
#25 Díselo a todos los medios del tipo Weblogs SL y compañía (Xataka, Genbeta, Gizmodo ...) que corrieron en tromba a dar la supuesta noticia mal traducida y peor redactada.
Es un exploit imposible de explotar por ahora, básicamente es eso. Y por tanto es como si no existiese. Pero claro, lo mejor es corregirlo igualmente.
Salu2
Vamos a hacer un super push de VideoLan, se lo merece.
Un resumen de lo sucedido, claro y en Castellano
https://unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-desinstalarlo.html
Éste es el cono que todos queremos!!
#3 tú solo usas librerías que no han sido vulnerables nunca y solo comes cosas que no hacen sombra
Mi casa no es vulnerable. Tiene una cerradura de un fabricante que sí lo es, pero mi casa no es vulnerable
#1 Lee el hilo completo. Porque tiene tela la prensa de hoy en día. No verifican nada.
#2 ¿Qué tengo que leer? VLC se apoya en librerías que en versiones previas han tenido fallos de seguridad.
¿Esto hace a VLC vulnerable? Sí. No en la versión actual, pero sí. No es un zero-day, pero es una vulnerabilidad.
#2 prensa?
#2 prensa a twitter