Il popolarissimo lettore multimediale per PC e smartphone è affetto da una grave vulnerabilità di sicurezza, dicono dalla Germania. Anzi no: l’ultima versione del software è immune al problema, ribattono gli sviluppatori.
La comunità degli esperti di sicurezza è in questi giorni impegnata in una discussione parecchio accesa, in linea con le temperature estive di luglio e riguardante la presunta pericolosità di un bug di sicurezza individuato nel codice di VLC media player. Quel bug mette a rischio miliardi di dispositivi, dicono i ricercatori che l’hanno scovato. La risposta di Videolan è piccata: la falla non è colpa nostra e risulta corretta da mesi, controllate meglio prima di diffondere “fake news” a tema di sicurezza informatica.
Sulla carta, la vulnerabilità CVE-2019-13615 pone un notevole rischio alla sicurezza dei PC e dei tanti gadget informatici su cui sono installati gli oltre tre miliardi di copie di VLC media player in circolazione: secondo l’agenzia tedesca CERT-Bund, il bug può essere sfruttato per compromettere sistemi ed eseguire codice malevolo da remoto, modificare dati e gettare scompiglio tra i servizi di rete.
Il notevole “rumore” scatenato dall’informativa del CERT-Bund – poi ripresa dalle altre agenzie di sicurezza internazionali e rilanciata dai siti di informazione – ha aperto un dibattito piuttosto animato sotto forma di thread a corredo del ticket ufficiale aperto da VideoLAN in merito al bug. Stando a Jean-Baptiste Kempf, sviluppatore di VLC ed esperto di codec multimediali, il bug non può essere riprodotto sull’ultima versione del player disponibile per il download (3.0.7.1).
Una ulteriore comunicazione di VideoLAN su Twitter ha fornito le informazioni aggiuntive utili a chiudere la questione una volta per tutte: l’origine del bug è una libreria di terze parti, libebml, che risulta in ogni caso già corretta da 16 mesi. VLC è immune dal bug CVE-2019-13615 sin dalla versione 3.0.3, e i ricercatori che hanno rilanciato la notizia non hanno nemmeno controllato i fatti prima di dare il via alla loro fake news. Il problema di sicurezza di VLC è risolto ma le polemiche continuano.