Reporte de vulnerabilidad de ejecución remota en VLC era falso; los usuarios de este reproductor se encuentran a salvo

Los desarrolladores del reproductor multimedia VLC se han visto envueltos por una nueva polémica. Recientemente, un supuesto informe de expertos en auditorías informáticas afirmó que este software presentaba cada vez mayores fallas de seguridad que exponían a los usuarios a actividades maliciosas como ejecución remota de código.

El reporte, revelado en días pasados, incluso afirmaba que, usando un video cargado de código malicioso, un actor de amenazas podría bloquear el reproductor multimedia o abusar de éste para ejecutar malware en el sistema objetivo.

Debido al alboroto causado por estas noticias, los desarrolladores de la herramienta de código abierto, que ha sido descargada por miles de millones de usuarios, decidieron hacer algunas declaraciones. Acorde a los expertos en auditorías informáticas, el personal detrás de VLC afirma que, si bien el error de software existe, su explotación es prácticamente imposible.    

El mes pasado el Instituto Nacional de Estándares y Tecnología de E.U. (NIST) documentó una vulnerabilidad de desbordamiento de búfer presente en VLC 3.0.7.1, la versión más reciente del reproductor de medios.

A pesar de que el NIST, e incluso el CERT, registraron la vulnerabilidad y la calificaron como “crítica”, los desarrolladores afirman que la falla no es explotable pero, ¿cómo respaldan esta afirmación?

Un grupo de expertos en auditorías informáticas trató de explotar la falla usando una prueba de concepto diseñada hace algunas semanas y que requiere de un video en formato mp4 cargado de malware, encontrando que la vulnerabilidad no puede ser explotada del modo que se explica en el informe. Los expertos también intentaron el ataque en versiones anteriores de VLC, sin obtener éxito alguno.   

Francois Cartegnie, uno de los desarrolladores de VLC, se mostró molesto a través de sus perfiles de redes sociales por los señalamientos de la comunidad de la ciberseguridad; “la próxima vez les sugiero verificar sus fuentes y reconsiderar sus falsas acusaciones”, declaró.

Los desarrolladores de VLC agregan que no hace falta lanzar un parche de actualización: “si usa la versión más reciente con las últimas bibliotecas no hay nada de qué preocuparse”, afirman. Acorde a expertos del Instituto Internacional de Seguridad Cibernética (IICS), la vulnerabilidad residía en la librería libebml, por lo que si los usuarios emplean versiones anteriores a 1.3.6, es probable que experimenten algunos errores como los presentados en la prueba de concepto.