VLC-ontwikkelaars dreigen met rechtszaak tegen Secunia wegens beveiligingsadvies
De ontwikkelaars van de mediaspeler VLC dreigen juridische stappen te nemen tegen het Deense beveiligingsbedrijf Secunia als een beveiligingsadvies over een kwetsbaarheid niet wordt aangepast. Secunia stelt dat VLC een kwetsbaarheid bevat waardoor het mogelijk is code uit te voeren op systemen van gebruikers.
De kwetsbaarheid wordt volgens Secunia veroorzaakt door SWF-bestanden. VLC ondersteunt deze bestanden officieel niet, maar het is wel mogelijk de bestanden met de mediaspeler af te spelen. De kwetsbaarheid zou zitten in de FFmpeg library, die niet door VideoLAN wordt onderhouden. De ontwikkelaar van VLC bracht een patch uit, maar deze verhielp volgens Secunia het probleem niet. Secunia stelt contact op te hebben genomen met VideoLAN, maar hier nooit reactie op te hebben gekregen.
Juridische stappen
VideoLAN lanceerde korte tijd later VLC 2.0.6, waarna het Deense beveiligingsbedrijf concludeerde dat de kwetsbaarheid nog steeds in de mediaspeler aanwezig was. VideoLAN nam hierop boos contact op met Secunia en eiste dat het beveiligingsbedrijf zijn security-advisory over de kwetsbaarheid zou aanpassen. De VLC-maker liet hierbij al weten juridische stappen te overwegen als Secunia zijn advies niet zou aanpassen.
Het Deense beveiligingsbedrijf besloot hierop het lek opnieuw te onderzoeken en stelt dat de kwetsbaarheid in VLC 2.0.6 lastig te misbruiken is. De status van de kwetsbaarheid werd daarom naar 'gepatcht' gewijzigd. VideoLAN had op dit moment VLC 2.0.7 al uitgebracht. Secunia stelt na verder onderzoek dat ook deze nieuwe versie de kwetsbaarheid nog bevat.
Leugens
VideoLAN stelt dat Secunia simpelweg leugens verspreid. De kwetsbaarheid in VLC zou wel degelijk zijn verholpen, terwijl Secunia claimt dat dit niet het geval is. Ook zou het Deense beveiligingsbedrijf naar een verkeerde fix verwijzen en onterecht claimen dat VLC gebruik maakt van de FFmpeg patch. Tot slot claimt VideoLAN dat Secunia allerlei e-mailberichten achterhouden en bepaalde e-mails die Secunia gestuurd claimt te hebben nooit ontvangen te hebben.