Fransk direktør dropper retssag mod danske Secunia

Truslen om en retssag mod danske Secunia bliver alligevel ikke til noget, siger direktøren i organisationen bag VLC-afspilleren. Parterne strides om sikkerhedshuller i softwaren.

Den franske organisation bag den populære open source-medieafspiller VLC vil alligevel ikke hive det danske it-sikkerhedsfirma Secunia i retten.

Det havde organisationen, VideoLAN, ellers truet Secunia med i en e-mail i maj. Men det kommer ikke til at ske, siger direktør i VideoLAN, Jean-Baptiste Kempf, i et interview med Version2.

Læs også: Populær videoafspiller truer danske Secunia med retssag

»Der bliver ikke noget retsligt efterspil,« siger Jean-Baptiste Kempf.

Kort fortalt er de to parter uenige om en sårbarhed i et af de biblioteker, der er tilknyttet VLC-afspilleren. De strides om årsagerne til sårbarheden, hvor alvorlig den er, og om det overhovedet er VideoLAN's ansvar at lukke huller i software-biblioteker, som er udviklet af andre.

VideoLAN og Secunia har skændtes i e-mails, Twitter-beskeder og indlæg på forummer som Hacker News og Full Disclosure.

Skænderiet har varieret i styrke siden december og blussede i denne uge op igen med lange og detaljerede blogindlæg fra begge parter.

Jean-Baptiste Kempf anser striden som en genopførelse af David mod Goliath, hvor den franske organisation besætter rollen som den lille, spinkle yngling med stenen i slyngen.

Derfor har truslen hele tiden været ment som en måde at få Secunia til at droppe sine advarsler om sårbarheden, efter at hullet ifølge VideoLAN var blevet lukket. VideoLAN har ganske enkelt ikke penge til at gøre alvor af den.

»Det er den eneste måde at få den slags firmaer til at at ændre deres adfærd på,« siger Jean-Baptiste Kempf.

Version2 har talt med Secunia, og firmaet er stadig af det indtryk, at VideoLAN overvejer sagsanlæg. Tror du, at firmaet er klar over, at det ikke er tilfældet alligevel?

»Nej, det ved de nok ikke. Men som sagt mener jeg, at den eneste måde at få firmaer som dem til at reagere på, er ved at trykke dem på pengepungen,« siger direktøren til Version2.

Senest har diskussionen handlet om en ny sårbarhed i forbindelse med VLC's håndtering af Matroska-mediefiler i .mkv-formatet.

Secunia mener at have et proof-of-concept, som både kan misbruges til at crashe VLC, men som også kan udnyttes til få systemadgang til den sårbare maskine via nettet.

Det første er bare irriterende for brugeren - men det andet kan, hvis det er rigtigt, misbruges til mere alvorlige ting af it-kriminelle.

Jean-Baptiste Kempf erkender, at VLC kunne crashes på hans egen 64-bit Linux-maskine med det pågældende proof-of-concept. VideoLAN var dog ude med en patch til det problem i slutningen af april - få dage efter indrapporteringen af sårbarheden.

Men direktøren siger til Version2, at sårbarheden hverken før eller nu har kunnet misbruges til at opnå fjernadgang til en computer

»Proof-of-concept'et kunne crashe VLC, men det var ikke exploitable. Secunia påstod, at det var en integer overflow-fejl, men vi har hele tiden ment, at der er tale om en ukendt exception i C++. Vi mener altså ikke, at den er exploitable, men Secunia har alligevel fastholdt på deres hjemmeside, at sårbarheden var ikke-patchet og kunne give fjernadgang til systemet,« forklarer Jean-Baptiste Kempf.

Direktøren hævder over for Version2, at Secunia lyver og kun bruger sagen til at fremme selskabets egne sikkerhedsprodukter.

»For at være ærlig, så er det en del af deres normale forretningsmodel at gøre folk bange,« siger Jean-Baptiste Kempf.

Ingen kommentarer til retssag

Hjemme i hovedkvarteret på Amager ønsker Secunia ikke at kommentere yderligere på truslen om en retssag - eller manglen på samme.

Men chef for research-afdelingen, Kasper Lindgaard, skriver i en e-mail til Version2, at Secunia nu mener at have fået opbakning til sin analyse af .mkv-sårbarheden af sikkerhedseksperterne i det anerkendte firma VUPEN.

»Grundet diskussion på bl.a. Full-Disclosure omkring sårbarhedens rigtighed, havde vi selv klargjort beviser for dens rigtighed, som vi kunne publicere, hvis det viste sig nødvendigt. At VUPEN nu går ud og verificerer, at vi har ret, er bare et ekstra bevis for, at VideoLAN ikke har håndteret denne situation korrekt,« skriver Kasper Lindgaard til Version2.

Jean-Baptiste Kempf har efterfølgende opdateret sit blogindlæg med en kommentar til VUPEN's Twitter-besked.

»Vupen ser ud til at sige, at det kan misbruges med noget 'voodoo'-kode. Jeg har ikke flere detaljer om det.«

Du kan læse Secunias blogindlæg her og svaret fra VideoLAN-direktøren her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Rene Madsen

Man sidder og undre sig over, hvorfor man så ikke ser nogen poste det her proof of concept. SÅ kan det jo blive rettet, men når de nu påstår der er en fejl og VLC ikke har rettet den. Så må Secunia vel stå frem med opskriften på deres poc. Har de ret i deres standpunkt, så vil folk jo få syn for sagen og få det rettet, ellers er de i min optik bare useriøse.

  • 4
  • 0
#4 Nicolai Hansen

Rene Madsen: Den PoC som crasher tidligere versioner af VLC findes frit tilgængeligt på Full Disclosure mailing listen og Secunia vedhæftede den også i deres første mail til VLC.

Mogens Hansen: VUPEN lever ikke af at skræmme alm. computer brugere, faktisk lige det modsatte - hvis du tror at dit software er sikkert, så er du et nemmere offer. VUPEN lever af at sælger exploits til regeringer, ikke sælge AntiVirus-produkter. VUPEN består af en stor gruppe mennesker som er nogle af de bedste indenfor deres felt, så derfor er det ENORMT relevant når de træder ind i sagen og siger at fejlen er mere alvorlig end VLC gør den. Hvem ville du ellers hive fat i? VUPEN kan deres kram, og har ingen interesse i "VLC vs Secunia"-sagen.

Se også første kommentar på VLC bloggen (har stået der i lang tid): companys like VUPEN would do just that

  • 2
  • 1
Log ind eller Opret konto for at kommentere