Конфликт между Secunia и VideoLAN, связанный с устранением уязвимостей в VLC

Компания Secunia Research выступила с критикой методов реагирования проекта VideoLAN на обнаружение уязвимостей в медиапроигрывателе VLC, приведя пример двух уязвимостей, позволяющих организовать выполнение кода при обработке файлов в форматах SWF и MKV. Первая уязвимость была выявлена в декабре прошлого года, а вторая в апреля нынешнего года. Исправление первой проблемы было заявлено ещё в выпуске 2.0.5, но на деле уязвимость остаётся неисправленной до сих пор, в том числе и в последней версии 2.0.7. Похожая ситуация наблюдается и со второй уязвимостью, исправления которой не вошли в состав VLC 2.0.7. По заявлению Secunia Research компания уже несколько месяцев не может добиться исправления уязвимостей и поэтому вынуждена придать ситуацию огласке.

В ответ на критику разработчики VLC опубликовали достаточно резкое сообщение, в котором обвинили Secunia во лжи и предвзятости. По поводу первой уязвимости утверждается, что VLC никогда официально не поддерживал формат SWF, уязвимость находится в коде библиотеки из состава FFmpeg/libav и исправление было включено в сборки VLC 2.0.5. Secunia указывает на то, что было устранено лишь частное проявление проблемы, но уязвимость по сути осталась неисправленной. Что касается проблем в сторонних библиотеках, то сборки VLC поставляются статически связанными с уязвимой версией libav, что делает весь продукт уязвимым, независимо от того в чём коде имеется ошибка.

Вторая уязвимость заявлена разработчиками VLC как неэксплуатируемая и приводящая только к краху приложения, поэтому они не считают проблему уязвимостью. В ответ на данное заявление, в списке рассылки FullDisclosure независимым исследователем безопасности был опубликован рабочий прототип эксплоита (ранее эксплоит не был доступен публично), показывающий, что проблема представляет реальную угрозу для пользователей. В примечании указывается, что Secunia Research профессионально занимается проблемами безопасности, поэтому стоит прислушаться к их мнению о степени опасности проблемы, а не придумывать оправдания о незначительности выявленной ошибки.

Источник:
http://www.opennet.ru/opennews/art.shtml?num=37389

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>