Sikkerhetshull funnet i populær videoavspiller

Sikkerhetshull funnet i populær videoavspiller

VLC sier feilen ikke ligger hos dem.

Det er ikke alle sikkerhetshull som er like alvorlige - men blant de mer alvorlige er hullene som tillater fremmede å kjøre programmer på datamaskinen din uten din hjelp. Det er et slikt som nå er funnet i videoavspilleren VLC.

Feilen ble funnet av det tyske sikkerhetsselskapet CERT-Bund og omtales av nettstedet Winfuture.de.

Oppdatert: VLC melder på sin Twitter-konto at det ikke er selve mediespilleren som er rammet, men delkomponent som i veldig gamle utgaver var sårbar. Varianten som har fulgt med VLC de siste månedene skal være trygg. Se Twitter-tråden nederst i saken.

Fjern VLC inntil videre

Risikoen omtales som alt fra høy til kritisk i flere medier, men CERT-Bund har revidert vurderingen og moderert risikoen til medium på sine nettsider, selv om den stadig ligger registrert i den amerikanske sårbarhetsdatabasen som kritisk etter én målestandard og høy risiko etter en eldre.

Feilen gjelder inneværende versjon (3.0.7.1) av VLC-spilleren, og derfor kan det være tryggest å avinnstallere spilleren hvis du har den på datamaskinen din.

Det samme hullet er funnet i versjonene både for Windows, Linux og Unix. Selv om MacOS er et Unix-basert operativsystem skal ikke den Mac-spesifikke versjonen av VLC være rammet.

VLC-utgaven for Android har annerledes versjonering og det er uvisst om feilen rammer den.

Pass på MKV- og MP4-filer

På VLCs utviklersider diskuteres feilen, og det ser ut til at utviklerne er på ballen. 

Det skal være snakk om en såkalt buffer overflow-feil, som forenklet får VLC til å gå utover sine bredder i minneforbruk, og altså potensielt kan gjøre at den kjører andres kode.

Feilen oppstår ved åpning av såkalte MP4- eller MKV-filer. Der ondsinnet kode i filene kan ende opp med å bli kjørt av VLC-spilleren. MKV og MP4 er svært vanlige formater for både video som strømmes på nett og piratkopiert film.

Krever avspilling av filer

Dette virker altså ikke å være en feil som tillater fremmede å gå direkte inn på PC-en din via internett, men en som kan la dem installere sårbarheter når du spiller av film du har fått fra ukjente kilder.

Deretter kan det som installeres brukes til de mer vanlige ondsinnede måtene, som å låse ned innhold med kryptolockere eller til å gi hackere eller botnet tilgang på PC-en din eller nettverket den er i.

Det synes altså som om du først og fremst er i fare om du spiller av filer du ikke vet hvem har laget eller hvor kommer fra, og at faren akkurat nå er relativt liten - siden ingen har utnyttet sårbarheten ennå.

VLCs Twitter-konto skeptisk

Via sin Twitter-konto har VideoLAN gått hardt ut og sagt at det ikke er et sikkerhetshull i deres programvare, men i en programvaredel som VLC bygger på. Versjonen som følger med VLC-spilleren for Windows-utgaven skal ha blitt fikset for månedsvis siden, men i enkelte Linux-versjoner er det fortsatt en gammel utgave som følger med operativsystemet. Hvis ikke disse lar seg oppdatere kan bruk av VLC i disse Linux-distribusjonene fortsatt være risikabelt.

Norges beste mobilabonnement

Sommer 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Sponz 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen