Det burde have været business as usual. En nærmest rutinepræget sag, hvor et softwarefirma bliver gjort opmærksom på et sikkerhedshul, der siden lukkes med en patch. Tak for hjælpen, og lad os så komme videre.
Men sådan gik det ikke, da folkene bag den populære open source-medieafspiller VLC for nogle måneder siden blev gjort opmærksom på en sårbarhed i et af de biblioteker, der er tilknyttet afspilleren.
Sårbarheden har nemlig udviklet sig til en regulær fejde mellem det danske it-sikkerhedsfirma Secunia, som var med til at gøre opmærksom på problemet og siden analysere det, og organisationen bag VLC, franske VideoLAN.
Uenighed om sårbarheden
Historien begynder i december, hvor den uafhængige sikkerhedsspecialist Kaveh Ghaemmaghami lægger oplysninger på hjemmesiden Full Disclosure om en sårbarhed i biblioteket FFmpeg, som er knyttet statisk til VLC.
Han beskriver sårbarheden som et buffer-overløb i den måde, som FFmpeg parser Flash-filer på. Den slags kan indimellem misbruges til grimme ting som at overtage kontrollen med den computer, programmet afvikles på.
Secunia ser nærmere på sårbarheden, men er imidlertid ikke helt enig i den beskrivelse, den uafhængige specialist har lagt på hjemmesiden.
Ifølge det danske it-sikkerhedsfirma er der nemlig tale om en såkaldt use-after-free-sårbarhed, hvor et program fortsætter med at referere en pointer, selvom hukommelsen til den er blevet frigivet.
Der er delte meninger om, hvorvidt use-after-free-sårbarheder kan udnyttes til andet end at få programmet til at crashe.
Men ifølge Secunias analyser har VLC med sin patch kun løst problemet for Flash-filer. Forsøger man med en anden angrebsvektor, for eksempel en AVI-fil, er sårbarheden ifølge Secunia stadig til stede. Og kan misbruges til andet end blot at lægge programmet dødt, navnlig vilkårlig eksekvering af kode.
Truet med retssag
Ifølge Secunia er firmaets analyse siden blevet bekræftet af en anden, uafhængig sikkerhedsekspert. Men det har ikke fået VideoLAN til at ændre holdning.
Faktisk har organisationen i en e-mail til Secunia 21. maj i år truet med retslige konsekvenser, hvis ikke Secunia faldt til patten og officielt erklærede sårbarheden lukket.
Det danske it-sikkerhedsfirma er lige nu forsigtig med at udtale sig til pressen om sagen. Men chef for research-afdelingen i Secunia, Kasper Lindgaard, skriver i en e-mail til Version2:
»Desværre kunne forløbet havde været meget bedre. VideoLAN lader ikke til at have været indstillet på at lytte, da vi pointerede, at patchen til SA51464 (sårbarheden, red.) ikke fixede den grundlæggende årsag til sårbarheden, men kun en vektor. Det er ærgerligt, at en vendor ikke vil samarbejde omkring koordinationsprocessen og vælger at skyde budbringeren, i stedet for at lytte til vores budskab.«
Om de retslige konsekvenser forklarer forskningschefen:
»Vi tager alle henvendelser fra producenter seriøse, når de mener at vi har en fejl i et advisory. Vi vælger så, baseret på den analyse vi laver, at opdatere vores advisory hvis vi finder det nødvendigt. Da vi er sikker i vores sag angående SA51464, er truslen om en retssag ærgerlig, men det ændrer ikke på vores standpunkt,« skriver Kasper Lindgaard.
Version2 har onsdag forsøgt at få VideoLAN i tale, men organisationen har ikke besvaret anmodningen om et interview.
Sikkert er det dog, at sagen må arkiveres i den spegede afdeling. Beskyldningerne er mange, og ikke alt i e-mailudvekslingen mellem de to parter ser ud til at være lagt frit frem til offentlighedens skue.
Direktør Jean-Baptiste Kempf, VideoLAN, skriver imidlertid tirsdag i et blogindlæg med titlen »Flere løgne fra Secunia«:
»Det her er et ærligt svar fra mig om blogindlægget fra Secunia. Jeg vil ikke kommentere meget på firmaets metoder eller den frygt, de forsøger at skubbe over på brugerne. De benytter samme taktik som andre firmaer i denne 'sikkerhedsbranche',« skriver direktøren.
Herefter går han videre med at opremse fire punkter, hvor han mener at Secunia lyver om sagens forløb og om alvoren af sårbarheden.
Du kan læse Secunias blogindlæg her og svaret fra VideoLAN-direktøren her.
Opdateret 10. juli klokken 16.14: E-mail vedr. retslige konsekvenser afsendt 21. maj, ikke 22. maj som det tidligere fremgik af artiklen.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.