Populær videoafspiller truer danske Secunia med retssag

21 kommentarer.  Hop til debatten
En tilsyneladende banal sårbarhed i den populære medieafspiller VLC har udviklet sig til en bitter konflikt mellem den franske organisation bag og det danske it-sikkerhedsfirma Secunia.
person
10. juli 2013 kl. 14:17
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det burde have været business as usual. En nærmest rutinepræget sag, hvor et softwarefirma bliver gjort opmærksom på et sikkerhedshul, der siden lukkes med en patch. Tak for hjælpen, og lad os så komme videre.

Men sådan gik det ikke, da folkene bag den populære open source-medieafspiller VLC for nogle måneder siden blev gjort opmærksom på en sårbarhed i et af de biblioteker, der er tilknyttet afspilleren.

Sårbarheden har nemlig udviklet sig til en regulær fejde mellem det danske it-sikkerhedsfirma Secunia, som var med til at gøre opmærksom på problemet og siden analysere det, og organisationen bag VLC, franske VideoLAN.

Uenighed om sårbarheden

Historien begynder i december, hvor den uafhængige sikkerhedsspecialist Kaveh Ghaemmaghami lægger oplysninger på hjemmesiden Full Disclosure om en sårbarhed i biblioteket FFmpeg, som er knyttet statisk til VLC.

Artiklen fortsætter efter annoncen

Han beskriver sårbarheden som et buffer-overløb i den måde, som FFmpeg parser Flash-filer på. Den slags kan indimellem misbruges til grimme ting som at overtage kontrollen med den computer, programmet afvikles på.

Secunia ser nærmere på sårbarheden, men er imidlertid ikke helt enig i den beskrivelse, den uafhængige specialist har lagt på hjemmesiden.

Ifølge det danske it-sikkerhedsfirma er der nemlig tale om en såkaldt use-after-free-sårbarhed, hvor et program fortsætter med at referere en pointer, selvom hukommelsen til den er blevet frigivet.

Der er delte meninger om, hvorvidt use-after-free-sårbarheder kan udnyttes til andet end at få programmet til at crashe.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Men ifølge Secunias analyser har VLC med sin patch kun løst problemet for Flash-filer. Forsøger man med en anden angrebsvektor, for eksempel en AVI-fil, er sårbarheden ifølge Secunia stadig til stede. Og kan misbruges til andet end blot at lægge programmet dødt, navnlig vilkårlig eksekvering af kode.

Truet med retssag

Ifølge Secunia er firmaets analyse siden blevet bekræftet af en anden, uafhængig sikkerhedsekspert. Men det har ikke fået VideoLAN til at ændre holdning.

Faktisk har organisationen i en e-mail til Secunia 21. maj i år truet med retslige konsekvenser, hvis ikke Secunia faldt til patten og officielt erklærede sårbarheden lukket.

Det danske it-sikkerhedsfirma er lige nu forsigtig med at udtale sig til pressen om sagen. Men chef for research-afdelingen i Secunia, Kasper Lindgaard, skriver i en e-mail til Version2:

»Desværre kunne forløbet havde været meget bedre. VideoLAN lader ikke til at have været indstillet på at lytte, da vi pointerede, at patchen til SA51464 (sårbarheden, red.) ikke fixede den grundlæggende årsag til sårbarheden, men kun en vektor. Det er ærgerligt, at en vendor ikke vil samarbejde omkring koordinationsprocessen og vælger at skyde budbringeren, i stedet for at lytte til vores budskab.«

Om de retslige konsekvenser forklarer forskningschefen:

»Vi tager alle henvendelser fra producenter seriøse, når de mener at vi har en fejl i et advisory. Vi vælger så, baseret på den analyse vi laver, at opdatere vores advisory hvis vi finder det nødvendigt. Da vi er sikker i vores sag angående SA51464, er truslen om en retssag ærgerlig, men det ændrer ikke på vores standpunkt,« skriver Kasper Lindgaard.

Version2 har onsdag forsøgt at få VideoLAN i tale, men organisationen har ikke besvaret anmodningen om et interview.

Sikkert er det dog, at sagen må arkiveres i den spegede afdeling. Beskyldningerne er mange, og ikke alt i e-mailudvekslingen mellem de to parter ser ud til at være lagt frit frem til offentlighedens skue.

Dette eksterne indhold er blokeret da du ikke har givet samtykke til markedsførings-cookies. To see the content, update your cookie settings.

Direktør Jean-Baptiste Kempf, VideoLAN, skriver imidlertid tirsdag i et blogindlæg med titlen »Flere løgne fra Secunia«:

»Det her er et ærligt svar fra mig om blogindlægget fra Secunia. Jeg vil ikke kommentere meget på firmaets metoder eller den frygt, de forsøger at skubbe over på brugerne. De benytter samme taktik som andre firmaer i denne 'sikkerhedsbranche',« skriver direktøren.

Herefter går han videre med at opremse fire punkter, hvor han mener at Secunia lyver om sagens forløb og om alvoren af sårbarheden.

Du kan læse Secunias blogindlæg her og svaret fra VideoLAN-direktøren her.

Opdateret 10. juli klokken 16.14: E-mail vedr. retslige konsekvenser afsendt 21. maj, ikke 22. maj som det tidligere fremgik af artiklen.

21 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
17
Daniel Udsen
11. juli 2013 kl. 14:49

En fejl blev fundet og fixed, Secunia mener at fejlen var dybere og at fixet kun ramer en af mange vektorer. VLC kontakter Secunia ang dokumentation for hvad den dybere fejl er uden realt at få noget brugbart, og beder derefter Secunia om enten at vise en altilernativ vector eller erklære problemet fixed, Secunia nægter begget dele.

Hvis den opfattelse er korrekt så er Secunia realt ude på et skåplan der godt kan værre strafbart. Eller i det mindst dypt uprofessionel adfærd fra et sikkerhedsfirma.

  • more_vert
    • insert_linkKopier link
18
Peter Makholm
11. juli 2013 kl. 15:11

Uanset om Secunias vurdering af fejlen er korrekt eller ej, så er trusler om retsager dybt uprofessionelt og føre i min bog umiddelbart til at man taber debatten.

At truslerne reelt set er tomme da VideoLan ikke har resurser til at føre en retssag er bare en skærpende omstændighed. Så uden at vurdere Secunias dokumentation mener jeg at ihvertfald VideoLan er ude på dybt vand.

  • more_vert
    • insert_linkKopier link
20
Peter Makholm
12. juli 2013 kl. 07:36

Hvad gør man hvis et firma bliver ved med at udsende pressemedelelser om en fejl man ikke kan replikere,

Don't be this guy: http://xkcd.com/386/

Helt seriøst, lad være! Sørg for at have en kort og præcis tekst der beskriver sagens fakta som man selv ser det. Henvis til den og sørg for at den kan findes. Fortæl hvilke oplysninger modparten er kommet med og hvad man har gjort for at løse problemet. Formålet er ikke at det skal overbevise modstanderen, men at det skal forklare sagen for tredjepart.

Lad være med at svine modstanderen til. Lad være med at så tvivl om modstanderens motiver. Lad være med at komme med trusler. Lad være med gøre det til en personlig sag.

Men hvad nu hvis modstanderens motiver er tvivlsomme og hvad nu hvis modstanderen fortjener at blive svinet til? Tjaa, så kan jeg bare sige, hvis man brydes med svin…

  • more_vert
    • insert_linkKopier link
21
Daniel Udsen
12. juli 2013 kl. 08:56

Helt seriøst, lad være! Sørg for at have en kort og præcis tekst der beskriver sagens fakta som man selv ser det.

Og hvad får man ud af det når modparten har langt bedre adgang til pressen?

Det VideoLAN netop opnåede ved at eskalere her er at netop at få deres forklaring frem til offentligheden.

Ville de have stået bedre ved ikke at så tvivl om secunia's motiver og evner? Ie ville nogen havde dættet en kort og precis tekst offentligtgjort uden en masse saftigt konflikt retorik?

I det her tilfælde er det ikke bare et obskurt forum det er en ofte citeret sikkerhedsfirma der er ude med tvivlsomme anklager, her skal et firma reagere.

  • more_vert
    • insert_linkKopier link
13
Thomas Løcke
11. juli 2013 kl. 10:19

Efter endt læsning virker det på mig som om Secunia ikke rigtigt har fattet problemet og bare skyder på VLC uden egentlig grund. Jeg kan ved den søde grød ikke rigtigt se hvordan det kan være VLC's skyld at der er et hul i FFMPEG der måske kan udnyttes.

  • more_vert
    • insert_linkKopier link
16
Peter Makholm
11. juli 2013 kl. 13:51

Jeg kan ved den søde grød ikke rigtigt se hvordan det kan være VLC's skyld at der er et hul i FFMPEG der måske kan udnyttes.

Lad mig citere en anden af historierne på Version2: »Man kan outsource opgaverne, men man kan ikke outsource ansvaret.« - Jacob Herbst, teknisk direktør i Dubex.

Som slutbruger af multimedieapplikationer er jeg lidt ligeglad med hvis skyld det er og hvem leverandørene har outsourcet de forskellige dele til. Hvis jeg udsætter mig for en kendt sikkerhedsrisiko ved at bruge VLC forventer jeg at at der er en bug i VLC's bugtracking system.

Det er vel indlysnede et ansvar vi pålægger leverandørene af lukket software. Jeg kan ikek se nogen grund til at vi som slutbrugere skal sætte mindre krav til opensource-leverandøre.

  • more_vert
    • insert_linkKopier link
15
Jimmy Frydkær Dürr
11. juli 2013 kl. 13:49

Det må være varmen, der trykker Secunia?

  • more_vert
    • insert_linkKopier link
14
David Rechnagel Udsen
11. juli 2013 kl. 12:15

Jeg kan ved den søde grød ikke rigtigt se hvordan det kan være VLC's skyld at der er et hul i FFMPEG der måske kan udnyttes.

Måske ikke, men det bliver jo stadig VLC's problem hvis det kan udnyttes, ikke? Desuden har Jean-Baptiste Kampf og hans hold rettet fejlen upstream i ffmpeg i følge ham selv. Secunia påstår - i følge hvad jeg forstår udfra deres blogindlæg - at de erkender at den fejl blev rettet, men kun for SWF-filer, da de senere fandt ud af den også virkede for AVI-filer.

M Kampf pointere at deres oprindelige PoC ikke længere virker (hvilket Secunia erkender, da udnyttelsen nu kræver mere snilde). Der er ikke noget i historien der pointere at Secunia har givet VideoLAN den nye PoC som virker på den mere generelle vektor-udnyttelse. Eftersom at M Kampf kun taler om den oprindelige PoC i sit blogindlæg, så antager jeg at VideoLAN ikke har modtaget den opdaterede PoC. Måske var den i en af de elektrobreve som Secunia refererer til, men som M Kampf ikke selv kan finde.

  • more_vert
    • insert_linkKopier link
12
Svante Jørgensen
11. juli 2013 kl. 09:40

Nyheden virker lidt biased til fordel for Secunia. Det kan anbefales at læse VideoLANs svar i deres blogindlæg før man dømmer dem: http://www.jbkempf.com/blog/post/2013/More-lies-from-Secunia

Efter at have læst begge siders udtalelser virker det til at det mest er misforståelser og forskellig opfattelse af hvad en svaghed i software er, som resulterer i denne mudderkastning.

Det virker umiddelbart til at VideoLAN har patched den specifikke fejl som Secunia har påpeget, selv om det ikke er bevist at den kan udnyttes til andet end at få VLC til at crashe. Patchen løser ikke den grundlæggende fejl i FFMPEG, men da der ingen beviser er for at den kan bruges til at køre ondsindet kode og Secunia ikke har påpeget andre konkrete sårbarheder mener VideoLAN at deres patch er nok til at lukke diskussionen ind til der kommer flere konkrete eksempler. Secunia holder til gengæld på at der i prinsippet stadig er en sårbarhed - og derfor ikke vil fjerne beskrivelsen af den fra deres website - men føler sig åbenbart ikke motiveret til at grave dybere i hvad sårbarheden egentlig betyder.

  • more_vert
    • insert_linkKopier link
11
Eskild Nielsen
11. juli 2013 kl. 00:54

Da VLC og FFMPEG er en multiplatform software, så er det vel relevant at spørge om på hvilke platforme sårbarheden kan udnyttes?

  • more_vert
    • insert_linkKopier link
10
Jonas Larsen
10. juli 2013 kl. 22:53

Uden at have undersøgt det specifikke problem på nogen måde, må jeg indrømme jeg har markant mere tillid til VLC, end til Secunia. Har brugt det i 8+ år og selv hjulpet til med diverse ting.

  • more_vert
    • insert_linkKopier link
9
Lars Juul
10. juli 2013 kl. 22:01

Arrogante danskere møder arrogante franskmænd. De bliver uenige og begynder at dænge hinanden til med mudder på deres respektive blogs. Godt agurketidsstof.

  • more_vert
    • insert_linkKopier link
8
Flemming Sørensen
10. juli 2013 kl. 20:41

Der fokuseres meget på VLC, men som jeg forstår det, er fejlen i FFMPEG. Hvis fejlen er i VLC, så kan der vælges en anden afspiller. Hvis fejlen er i FFMPEG, så eksisterer den vel i alt software, der bruger dette, og er derfor en del vanskeligere at slippe af med.

Der er for mig at se, meget stor forskel, så er der nogen der kan kaste lidt lys over det?

  • more_vert
    • insert_linkKopier link
7
Deleted User
10. juli 2013 kl. 20:08

De fleste andre medieafspillere har svigtet, når jeg har testet hhv.:

  • En ødelagt (uindekseret / header-løs) videofil
  • Matroska-filer med alle features (kapitler, flere valgbare undertekst- og lydspor)

WMP kan tweakes lidt vha. f.eks. Shark007.net codecpakken, som supporterer thumbnails og fil/metadata visning i Windows Explorer. Men generelt er den alt for restriktiv.

  • more_vert
    • insert_linkKopier link
3
Brian Hansen
10. juli 2013 kl. 15:57

Ærgeligt, jeg har ellers været glad for VLC i lang tid, da den ikke krævede guderne må vide hvilke codec packs osv. for at afspille næsten alle formater. Men nu jeg tænker over det, så ligger alt mit video alligevel i MP4 idag, som praktisk talt alle mine enheder kan afvikle uden ekstra software. Time to move on?

  • more_vert
    • insert_linkKopier link
4
David Rechnagel Udsen
10. juli 2013 kl. 16:05

Jeg kan selvfølgelig ikke tale på dine vegne, hr. Hansen, men en videoafspiller er vel mere end bare codec-bibliotek. Man bør overveje om der findes en videoafspiller der har en bedre grænseflade eller er bedre til ting man han ellers har brug for?

Personligt bruger jeg MPlayer (SMPlayer når jeg er på Windows), fordi det er en afspiller der er minimal i grænsefladen, men kraftig i funktionalitet. Hvorvidt MPlayer er bedre end VLC er som at diskutere om Firefox er bedre end Chrome. Jeg foretrækker MPlayer for sin grænseflade og - tja - Firefox af samme grund.

Udover MPlayer, hvad er der så af alternativer til VLC?

  • more_vert
    • insert_linkKopier link
5
Brian Hansen
10. juli 2013 kl. 16:08

Tror mine afspiller behov er så simple som de kan blive, WMP kunne sikkert erstatte VLC for mig. Eneste lettere specielle funktion jeg bruger er UDP streams af og til, det aner jeg faktisk ikke om WMP supporterer.

  • more_vert
    • insert_linkKopier link
2
Deleted User
10. juli 2013 kl. 15:11

Hej David -

Tak for oplysningen, som jeg også netop har fået bekræftet i et telefoninterview med Jean-Baptiste Kempf. Mere følger på Version2, formentlig torsdag formiddag...

Vh Mikkel, v2.dk

  • more_vert
    • insert_linkKopier link