Secunia et VLC entrent dans un combat vulnérable

Secunia et l’équipe de VLC ont eu un violent désaccord, après que Secunia ait placé le statut de correction de leur rapport de vulnérabilité de VLC à « non protégé ».

À la fin de l’année dernière, l’équipe de Secunia a rapporté une vulnérabilité (SA51464) dans la version 2.x. de VLC. La cause première de la vulnérabilité se situe dans la bibliothèque sous-jacente de FFmpeg, à la laquelle VLC lie statiquement.

On a signalé que la vulnérabilité a été causée en raison d’une question de débordement d’amortisseur quand l’analyse SWF classe, qui était incorrecte. (comme rapports de Secunia)

L’équipe de VLC est venue pour savoir la question et ont essayé de la réparer mais ils ont manqué la cause première et n’ont pas résolu le fond du problème. Ils ont libéré la prochaine version de VLC et le lui réclame mais l‘équipe de Sécunia n‘était pas d‘ accord. L’équipe de VLC a continué à sortir la version de 2.0.5 à 2.0.7 et a réclamé que la vulnérabilité était fixe.

La libération de l’équipe de Secunia de la version 2.0.6 a toujours rapporté la vulnérabilité non protégée, VLC a menacé Secunia en justice, comme l’équipe de Secunia dit « le 21 mai 2013, l’équipe de VLC nous a contactés après des heures de bureau et nous a menacés par juridique action si nous ne mettions pas à jour le bulletin de renseignements SA51464 de Secunia et ne changions pas son statut de correction dans un délai de 24 heures .

L’équipe de Secunia ne s’est pas assise de pair même après celle. L’équipe dit que « nous avons conduit.

analyse approfondie après que nous ayons mis à jour notre bulletin de renseignements et ayons conclu que la question est exploitable même dans la version nouvellement libérée 2.0.7. Nous avons donc mis à jour notre bulletin de renseignements et avons placé le statut de correction du bulletin de renseignements SA51464 de Secunia à non protégé. N’importe quelle future action judiciaire de l’équipe de VLC sera traitée en conséquence.

Plus tard la vulnérabilité a été fixé dans la version 2.1.0. Un du membre de VLC a présenté ses observations sur REDDIT- « naturellement il y avait un insecte ! Merci pour le reportage. La question a été correctement fixée dans 2.1.0. Si le rapport n’a pas été fait à 2,0 il est de ma responsabilité, puisqu’il était tard, je l’ai remis à plus tard. Je m’excuse auprès de nos utilisateurs et au reste de l’équipe qui doit traiter ce drame.

Et bien, on rapporte que la vulnérabilité est fixée dans la version 2.1.0 comme rapporté par l’équipe de VLC aussi bien que dans celle de Secunia mais ceci a semblé être un argument de dispute.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *