آیا استفاده از VLC Media Player واقعاً برای سیستم ما خطرناک است؟

طی روزهای گذشته آژانس تحقیقات امنیتی آلمان به صورت رسمی اعلام کرد که نرم‌افزار VLC Media Player که از محبوب‌ترین نرم‌افزارهای پلیر متن باز سراسر دنیاست از یک آسیب پذیری بسیار مهم با شناسه CVE-2019-13615 رنج می‌برد. اما آیا واقعاً در عمل نیز داستان به همین منوال است و گزارش موسسه آلمانی را باید باور کنیم؟

شکی در این موضوع نیست که میلیون‌ها کاربر در سراسر دنیا از نرم‌افزار VLC Media Player به عنوان پلیر اصلی خود در سیستم عامل‌های مختلف استفاده می‌کنند و وجود حفره‌های امنیتی در آنها مسلماً می‌تواند باعث ایجاد مشکلات بزرگی برای کاربران در سراسر دنیا شود.

اما با وجود اینکه به دلیل ذات متن باز بودن نرم‌افزارهایی مانند VLC Media Player همواره این نرم‌افزارها تحت بررسی‌های دقیق و بروزرسانی‌های سریع به منظور کاهش خطرات امنیتی قرار می‌گیرند، وجود یک حفره که بتواند مدت زیادی روی نرم‌افزار باقی مانده و مشکلش حل نشود کمی تعجب برانگیز است.

در مورد مطلب حاضر، موسسه آلمانی اعلام کرده که هکرها با استفاده از این حفره امنیتی می‌توانند بدون اجازه کاربر به صورت کامل به سیستم او متصل شوند و حتی در این حالت خواهند توانست فایل‌های سیستم او را نیز مورد دسترسی و تغییر قرار دهند.

نکته بسیار جالب دیگر عمق فاجعه‌ و خطری است که به سبب استفاده از این حفره به وجود خواهد آمد و به همین دلیل CERT-Bund امتیاز سطح آسیب این حفره را 9.8 از 10 اعلام کرده است.

ابن آسیب‌پذیری به صورت کلی روی سیستم عامل‌های ویندوز، لینوکس و پلتفرم‌های بر پایه Unix قابل دسترسی است ولی در نقطه مقابل به دلیل ذات سیستم عامل، کاربران MacOS را تحت تأثیر قرار نمی‌دهد.

معمولاً پس از چنین خبرهای تیم اصلی پشتیبانی نرم‌افزار مورد بحث سعی می‌کند به سرعت با تیم امنیتی منتشر کننده خبر تماس گرفته و در جهت رفع مشکل برآید ولی در این مطلب با یک اتفاق عجیب روبرو خواهیم شد؛ چرا که VideoLAN که تیم اصلی پشتیبان VLC است با رد همه ادعاهای مطرح شده، بیانیه ای در حساب توئیتر خود به شکل زیر منتشر کرد:

همانطور که مشاهده می‌کنید تیم VideoLAN به صورت رسمی اعلام کرده که بستر اصلی نرم‌افزار VLC Media Player به هیچ عنوان دارای حفره امنیتی با مشخصات ذکر شده نیست و مشکلی که آژانس آلمانی به صورت دقیق در مورد آن مطالعه نکرده ناشی از ضعف امنیتی یک کتابخانه ساخت گروه‌های ثالث به نام libebml می‌باشد و نکته جالب آن است که همین مشکل نیز 16 ماه پیش رفع و آسیب پذیری مورد بحث شناسایی شده است.

همچنین در ادامه تیم توسعه دهنده VLC اعلام نموده که در حال حاضر آخرین نسخه این نرم‌افزار نسخه 3.0.3 بوده و هیچ مشکل امنیتی گزارش شده‌ای ندارد که حتی تیم امنیتی منتشر کننده خبر به خود زحمت تست آن را نداده‌اند!

اصلی پایه در مورد تست‌های امنیتی یک نرم‌افزار، پلتفرم و یا باندل وجود دارد و آن این است که باید همه تست‌ها روی آخرین بروزرسانی‌ها انجام شوند تا درجه اعتبار و صحت آنها مورد تأیید گروه توسعه دهنده نرم‌افزار باشد و به نظر در این مورد تیم آلمانی مرتکب اشتباهی بزرگ شده است.

به هر حال داستان به نحوی است که در بالا شرح داده شده و در ادامه VideoLAN به این موضوع نیز اشاره کرده که در توسعه نسخه 4.0 این نرم‌افزار محبوب است و با عرضه آن تلاش شده تا علاوه بر بهبودهای نرم‌افزار و رابط کاربری، بالاترین درجه امنیتی که کمترین حفره‌های امنیتی در آن وجود داشته باشند عرضه خواهد شد.