Nieuws
image

VLC dreigt met juridische stappen tegen Secunia

woensdag 10 juli 2013, 14:16 door Redactie, 4 reacties

De makers van de populaire mediaspeler VLC hebben het Deense beveiligingsbedrijf Secunia met juridische stappen gedreigd als een security-advisory over een beveiligingslek in VLC niet zou worden aangepast. De ruzie tussen VideoLAN, de makers van VLC, en Secunia, bekend van de Personal Software Inspector, is al geruime tijd bezig. In december vorig jaar werd een nieuw VLC-lek onthuld.

Het probleem zou door SWF-bstanden worden veroorzaakt, een formaat dat VLC officieel niet ondersteunt. Volgens Secunia ging het echter om een 'use-after-free', waardoor het mogelijk is om code op het onderliggende systeem uit te voeren. De kwetsbaarheid bevindt zich in de FFmpeg library, die door een derde partij wordt onderhouden.

Juridische stappen
VideoLAN publiceerde een patch, maar die zou de echte oorzaak niet oplossen, aldus Secunia. Met de lancering van VLC 2.0.5 waarschuwt Secunia dat het probleem nog steeds aanwezig is. "Maar VLC negeerde onze mail", aldus de Denen. Vervolgens werd VLC 2.0.6 gelanceerd, maar was het probleem nog steeds niet verholpen.

Secunia liet dan ook weten dat de nieuwste versie van VLC nog steeds een kwetsbaarheid bevatte, tot woede van VideoLAN. De softwareontwikkelaar benaderde Secunia en eiste dat het beveiligingsbedrijf de security-advisory over VLC zou aanpassen, anders zouden er juridische stappen volgen.

Verder onderzoek wees uit dat het probleem in versie 2.0.6 lastig was te misbruiken, waarop de status van het lek op 'gepatcht' werd gezet. Toch besloot Secunia verder onderzoek uit te voeren en ontdekte dat ook VLC 2.0.7, die inmiddels verschenen was, het lek bevatte en kwetsbaar was.

Daarnaast werd het door een externe onderzoeker benaderd die hetzelfde probleem had ontdekt, alleen dan via een andere aanvalsvector.

Leugens
Op het eigen weblog en Twitter reageert VideoLAN furieus op de aantijgingen en stelt dat Secunia keiharde leugens verspreidt. De kwetsbaarheden zouden niet voor het uitvoeren van willekeurige code misbruikt kunnen worden, daarnaast toonde Secunia geen exploit-code die dit demonstreerde en zou allerlei andere e-mails die met VLC werden uitgewisseld hebben achtergehouden.

Reacties (4)
10-07-2013, 17:45 door Anoniem
Dit soort onprofessioneel gepruts is natuurlijk niet bevorderlijk voor de staat van de computerbeveiliging. Zeker omdat het meerdere grote open source projecten betreft die behoorlijk open en responsief op beveiligingsproblemen zijn.

(Disclosure: Ik had ooit vlc commit-toegang. In mijn ervaring is j-b behoorlijk lastig kwaad te krijgen.)
11-07-2013, 10:27 door johanw
Met juridische stappen dreigen tegen iemand die iets over je product zegt dat je niet bevalt... Daar bij VLC hebben ze zeker nog nooit van het Streisand effect gehoord.
11-07-2013, 11:05 door Anoniem
Door johanw: Met juridische stappen dreigen tegen iemand die iets over je product zegt dat je niet bevalt... Daar bij VLC hebben ze zeker nog nooit van het Streisand effect gehoord.
Zeker wel. Merk ook op dat VLC geen betaald product is (als je denkt van wel ben je wellicht opgelicht) en dus is het niet zozeer een punt inkomen uit productverkoop te beschermen.

De klacht is nu juist dat secunia informatie achterhoudt, selectief uit correspondentie publiceert, onreproduceerbare claims maakt, demonstreerbaar onjuiste aantijgingen doet, en zo verder. Ze hebben ervaring met publiciteit, dus als ze die zoeken dan zullen ze denken dat het in hun belang is. Het dreigen met juridische stappen zal vooral zijn om even flink de aandacht van het bedrijf te krijgen. Ze zijn het gepruts gewoon zat.
11-07-2013, 13:40 door Anoniem
Persoonlijk word ik een beetje moe van al die hysterische security bedrijven die telkens schreeuwerige berichten naar buiten brengen, waarmee ze met halve/onjuiste 'informatie', meestal ten koste van een ander bedrijf zichzelf over een goed voetlicht proberen te brengen. Zoals de meesten kom ik hier om te lezen/leren over security, niet om te participeren in drama in een scene/community.

Zoals Kaspersky een tijd terug deed door tig keer te schreeuwen dat Apple van Microsoft moest leren qua security, omdat Microsoft vaker updates uitbracht. Daarbij worden de verschillen in de situatie blijkbaar over het hoofd gezien en andere nuances. Lekker scoren op de controverse/emotionele fanboys tussen de twee bedrijven en destijds was er ook een java exploit op Mac, ook leuk om daarop mee te liften natuurlijk.

Norman die andere anti-virus fabrikanten afkraakt en claimt eigen technieken te hebben die gewoon gemeengoed zijn bij andere AV's, daarnaast scoren ze altijd erg slecht in AV-testen.

En zo kun je nog wel even doorgaan. Ik sluit me volledig aan bij de comment die 'Nobert' plaatste op het blog van VLC:

" I'm really getting fed up with those 'security researcher' types. They don't do anything constructive - all they do is looking for bugs and waste people's time.

And then they take themselves far too important: LOOK WE FOUND A SECURITY BUG! DROP EVERYTHING, FIX IT AND TELL THE WORLD HOW GREAT WE WARE. Because we are security RESEARCHES and more important than GOD/DOG HIMSELF!

We software developers who create value should take a stand against those trolls and ignore them."

'W00t' plaatste ook een mooie coment:"
You forget to mention most important thing: If Secunia Research is professional, why don't they provide you with working exploit? (in example EIP = 0x41414141) I'm sure company like VUPEN would do just that to prove they point. Isn't worth to point out on other sites? (e.g. netsec)

I really like this https://twitter.com/Secunia/status/... you can spot _two_ lies - first they don't find ANY vuln, second their lying about timeframe."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure