Populær videoafspiller truer danske Secunia med retssag

Illustration: leowolfert/Bigstock
En tilsyneladende banal sårbarhed i den populære medieafspiller VLC har udviklet sig til en bitter konflikt mellem den franske organisation bag og det danske it-sikkerhedsfirma Secunia.

Det burde have været business as usual. En nærmest rutinepræget sag, hvor et softwarefirma bliver gjort opmærksom på et sikkerhedshul, der siden lukkes med en patch. Tak for hjælpen, og lad os så komme videre.

Men sådan gik det ikke, da folkene bag den populære open source-medieafspiller VLC for nogle måneder siden blev gjort opmærksom på en sårbarhed i et af de biblioteker, der er tilknyttet afspilleren.

Sårbarheden har nemlig udviklet sig til en regulær fejde mellem det danske it-sikkerhedsfirma Secunia, som var med til at gøre opmærksom på problemet og siden analysere det, og organisationen bag VLC, franske VideoLAN.

Uenighed om sårbarheden

Historien begynder i december, hvor den uafhængige sikkerhedsspecialist Kaveh Ghaemmaghami lægger oplysninger på hjemmesiden Full Disclosure om en sårbarhed i biblioteket FFmpeg, som er knyttet statisk til VLC.

Han beskriver sårbarheden som et buffer-overløb i den måde, som FFmpeg parser Flash-filer på. Den slags kan indimellem misbruges til grimme ting som at overtage kontrollen med den computer, programmet afvikles på.

Secunia ser nærmere på sårbarheden, men er imidlertid ikke helt enig i den beskrivelse, den uafhængige specialist har lagt på hjemmesiden.

Ifølge det danske it-sikkerhedsfirma er der nemlig tale om en såkaldt use-after-free-sårbarhed, hvor et program fortsætter med at referere en pointer, selvom hukommelsen til den er blevet frigivet.

Der er delte meninger om, hvorvidt use-after-free-sårbarheder kan udnyttes til andet end at få programmet til at crashe.

Men ifølge Secunias analyser har VLC med sin patch kun løst problemet for Flash-filer. Forsøger man med en anden angrebsvektor, for eksempel en AVI-fil, er sårbarheden ifølge Secunia stadig til stede. Og kan misbruges til andet end blot at lægge programmet dødt, navnlig vilkårlig eksekvering af kode.

Truet med retssag

Ifølge Secunia er firmaets analyse siden blevet bekræftet af en anden, uafhængig sikkerhedsekspert. Men det har ikke fået VideoLAN til at ændre holdning.

Faktisk har organisationen i en e-mail til Secunia 21. maj i år truet med retslige konsekvenser, hvis ikke Secunia faldt til patten og officielt erklærede sårbarheden lukket.

Det danske it-sikkerhedsfirma er lige nu forsigtig med at udtale sig til pressen om sagen. Men chef for research-afdelingen i Secunia, Kasper Lindgaard, skriver i en e-mail til Version2:

»Desværre kunne forløbet havde været meget bedre. VideoLAN lader ikke til at have været indstillet på at lytte, da vi pointerede, at patchen til SA51464 (sårbarheden, red.) ikke fixede den grundlæggende årsag til sårbarheden, men kun en vektor. Det er ærgerligt, at en vendor ikke vil samarbejde omkring koordinationsprocessen og vælger at skyde budbringeren, i stedet for at lytte til vores budskab.«

Om de retslige konsekvenser forklarer forskningschefen:

»Vi tager alle henvendelser fra producenter seriøse, når de mener at vi har en fejl i et advisory. Vi vælger så, baseret på den analyse vi laver, at opdatere vores advisory hvis vi finder det nødvendigt. Da vi er sikker i vores sag angående SA51464, er truslen om en retssag ærgerlig, men det ændrer ikke på vores standpunkt,« skriver Kasper Lindgaard.

Version2 har onsdag forsøgt at få VideoLAN i tale, men organisationen har ikke besvaret anmodningen om et interview.

Sikkert er det dog, at sagen må arkiveres i den spegede afdeling. Beskyldningerne er mange, og ikke alt i e-mailudvekslingen mellem de to parter ser ud til at være lagt frit frem til offentlighedens skue.

Direktør Jean-Baptiste Kempf, VideoLAN, skriver imidlertid tirsdag i et blogindlæg med titlen »Flere løgne fra Secunia«:

»Det her er et ærligt svar fra mig om blogindlægget fra Secunia. Jeg vil ikke kommentere meget på firmaets metoder eller den frygt, de forsøger at skubbe over på brugerne. De benytter samme taktik som andre firmaer i denne 'sikkerhedsbranche',« skriver direktøren.

Herefter går han videre med at opremse fire punkter, hvor han mener at Secunia lyver om sagens forløb og om alvoren af sårbarheden.

Du kan læse Secunias blogindlæg her og svaret fra VideoLAN-direktøren her.

Opdateret 10. juli klokken 16.14: E-mail vedr. retslige konsekvenser afsendt 21. maj, ikke 22. maj som det tidligere fremgik af artiklen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Hansen

Ærgeligt, jeg har ellers været glad for VLC i lang tid, da den ikke krævede guderne må vide hvilke codec packs osv. for at afspille næsten alle formater. Men nu jeg tænker over det, så ligger alt mit video alligevel i MP4 idag, som praktisk talt alle mine enheder kan afvikle uden ekstra software. Time to move on?

  • 1
  • 1
David Rechnagel Udsen

Jeg kan selvfølgelig ikke tale på dine vegne, hr. Hansen, men en videoafspiller er vel mere end bare codec-bibliotek. Man bør overveje om der findes en videoafspiller der har en bedre grænseflade eller er bedre til ting man han ellers har brug for?

Personligt bruger jeg MPlayer (SMPlayer når jeg er på Windows), fordi det er en afspiller der er minimal i grænsefladen, men kraftig i funktionalitet. Hvorvidt MPlayer er bedre end VLC er som at diskutere om Firefox er bedre end Chrome. Jeg foretrækker MPlayer for sin grænseflade og - tja - Firefox af samme grund.

Udover MPlayer, hvad er der så af alternativer til VLC?

  • 3
  • 0
Kasper Hovgaard

De fleste andre medieafspillere har svigtet, når jeg har testet hhv.:

  • En ødelagt (uindekseret / header-løs) videofil
  • Matroska-filer med alle features (kapitler, flere valgbare undertekst- og lydspor)

WMP kan tweakes lidt vha. f.eks. Shark007.net codecpakken, som supporterer thumbnails og fil/metadata visning i Windows Explorer. Men generelt er den alt for restriktiv.

  • 1
  • 0
Flemming Sørensen

Der fokuseres meget på VLC, men som jeg forstår det, er fejlen i FFMPEG.
Hvis fejlen er i VLC, så kan der vælges en anden afspiller.
Hvis fejlen er i FFMPEG, så eksisterer den vel i alt software, der bruger dette, og er derfor en del vanskeligere at slippe af med.

Der er for mig at se, meget stor forskel, så er der nogen der kan kaste lidt lys over det?

  • 9
  • 0
Jonas Larsen

Uden at have undersøgt det specifikke problem på nogen måde, må jeg indrømme jeg har markant mere tillid til VLC, end til Secunia. Har brugt det i 8+ år og selv hjulpet til med diverse ting.

  • 6
  • 0
Svante Jørgensen

Nyheden virker lidt biased til fordel for Secunia. Det kan anbefales at læse VideoLANs svar i deres blogindlæg før man dømmer dem: http://www.jbkempf.com/blog/post/2013/More-lies-from-Secunia

Efter at have læst begge siders udtalelser virker det til at det mest er misforståelser og forskellig opfattelse af hvad en svaghed i software er, som resulterer i denne mudderkastning.

Det virker umiddelbart til at VideoLAN har patched den specifikke fejl som Secunia har påpeget, selv om det ikke er bevist at den kan udnyttes til andet end at få VLC til at crashe. Patchen løser ikke den grundlæggende fejl i FFMPEG, men da der ingen beviser er for at den kan bruges til at køre ondsindet kode og Secunia ikke har påpeget andre konkrete sårbarheder mener VideoLAN at deres patch er nok til at lukke diskussionen ind til der kommer flere konkrete eksempler. Secunia holder til gengæld på at der i prinsippet stadig er en sårbarhed - og derfor ikke vil fjerne beskrivelsen af den fra deres website - men føler sig åbenbart ikke motiveret til at grave dybere i hvad sårbarheden egentlig betyder.

  • 5
  • 1
David Rechnagel Udsen

Jeg kan ved den søde grød ikke rigtigt se hvordan det kan være VLC's skyld at der er et hul i FFMPEG der måske kan udnyttes.

Måske ikke, men det bliver jo stadig VLC's problem hvis det kan udnyttes, ikke? Desuden har Jean-Baptiste Kampf og hans hold rettet fejlen upstream i ffmpeg i følge ham selv. Secunia påstår - i følge hvad jeg forstår udfra deres blogindlæg - at de erkender at den fejl blev rettet, men kun for SWF-filer, da de senere fandt ud af den også virkede for AVI-filer.

M Kampf pointere at deres oprindelige PoC ikke længere virker (hvilket Secunia erkender, da udnyttelsen nu kræver mere snilde). Der er ikke noget i historien der pointere at Secunia har givet VideoLAN den nye PoC som virker på den mere generelle vektor-udnyttelse. Eftersom at M Kampf kun taler om den oprindelige PoC i sit blogindlæg, så antager jeg at VideoLAN ikke har modtaget den opdaterede PoC. Måske var den i en af de elektrobreve som Secunia refererer til, men som M Kampf ikke selv kan finde.

  • 3
  • 0
Peter Makholm Blogger

Jeg kan ved den søde grød ikke rigtigt se hvordan det kan være VLC's skyld at der er et hul i FFMPEG der måske kan udnyttes.


Lad mig citere en anden af historierne på Version2: »Man kan outsource opgaverne, men man kan ikke outsource ansvaret.« - Jacob Herbst, teknisk direktør i Dubex.

Som slutbruger af multimedieapplikationer er jeg lidt ligeglad med hvis skyld det er og hvem leverandørene har outsourcet de forskellige dele til. Hvis jeg udsætter mig for en kendt sikkerhedsrisiko ved at bruge VLC forventer jeg at at der er en bug i VLC's bugtracking system.

Det er vel indlysnede et ansvar vi pålægger leverandørene af lukket software. Jeg kan ikek se nogen grund til at vi som slutbrugere skal sætte mindre krav til opensource-leverandøre.

  • 6
  • 0
Daniel Udsen

En fejl blev fundet og fixed, Secunia mener at fejlen var dybere og at fixet kun ramer en af mange vektorer. VLC kontakter Secunia ang dokumentation for hvad den dybere fejl er uden realt at få noget brugbart, og beder derefter Secunia om enten at vise en altilernativ vector eller erklære problemet fixed, Secunia nægter begget dele.

Hvis den opfattelse er korrekt så er Secunia realt ude på et skåplan der godt kan værre strafbart. Eller i det mindst dypt uprofessionel adfærd fra et sikkerhedsfirma.

  • 4
  • 0
Peter Makholm Blogger

Uanset om Secunias vurdering af fejlen er korrekt eller ej, så er trusler om retsager dybt uprofessionelt og føre i min bog umiddelbart til at man taber debatten.

At truslerne reelt set er tomme da VideoLan ikke har resurser til at føre en retssag er bare en skærpende omstændighed. Så uden at vurdere Secunias dokumentation mener jeg at ihvertfald VideoLan er ude på dybt vand.

  • 3
  • 2
Peter Makholm Blogger

Hvad gør man hvis et firma bliver ved med at udsende pressemedelelser om en fejl man ikke kan replikere,

Don't be this guy: http://xkcd.com/386/

Helt seriøst, lad være! Sørg for at have en kort og præcis tekst der beskriver sagens fakta som man selv ser det. Henvis til den og sørg for at den kan findes. Fortæl hvilke oplysninger modparten er kommet med og hvad man har gjort for at løse problemet. Formålet er ikke at det skal overbevise modstanderen, men at det skal forklare sagen for tredjepart.

Lad være med at svine modstanderen til. Lad være med at så tvivl om modstanderens motiver. Lad være med at komme med trusler. Lad være med gøre det til en personlig sag.

Men hvad nu hvis modstanderens motiver er tvivlsomme og hvad nu hvis modstanderen fortjener at blive svinet til? Tjaa, så kan jeg bare sige, hvis man brydes med svin…

  • 0
  • 0
Daniel Udsen

Helt seriøst, lad være! Sørg for at have en kort og præcis tekst der beskriver sagens fakta som man selv ser det.

Og hvad får man ud af det når modparten har langt bedre adgang til pressen?

Det VideoLAN netop opnåede ved at eskalere her er at netop at få deres forklaring frem til offentligheden.

Ville de have stået bedre ved ikke at så tvivl om secunia's motiver og evner? Ie ville nogen havde dættet en kort og precis tekst offentligtgjort uden en masse saftigt konflikt retorik?

I det her tilfælde er det ikke bare et obskurt forum det er en ofte citeret sikkerhedsfirma der er ude med tvivlsomme anklager, her skal et firma reagere.

  • 0
  • 1
Log ind eller Opret konto for at kommentere