En mayo, se descubrió una vulnerabilidad en VLC y otros reproductores de medios (como Kody y Popcorn Time ...). Explican en el artículo enlace que las vulnerabilidades han sido corregidas por VLC en ese tiempo.
Pero cuando reviso el registro de cambios de VLC usando el comando apt changelog vlc , (estoy usando Ubuntu 17.04 por cierto), estoy obteniendo esto:
vlc (2.2.4-14ubuntu2.1) zesty-security; urgencia = alta
- ACTUALIZACIÓN DE SEGURIDAD: Bloqueo debido a la escritura de memoria del montón fuera de enlace (LP: # 1693893)
- fix-CVE-2017-10699.patch
- CVE-2017-10699
- ACTUALIZACIÓN DE SEGURIDAD: Solucione el potencial fuera de las lecturas enlazadas
- fix-CVE-2017-8310.patch
- CVE-2017-8310
- ACTUALIZACIÓN DE SEGURIDAD: corregir un doble incremento no válido
- fix-CVE-2017-8311.patch
- CVE-2017-8311
- ACTUALIZACIÓN DE SEGURIDAD: corregir un posible desbordamiento del búfer del montón
- fix-CVE-2017-8312.patch
- CVE-2017-8312
- ACTUALIZACIÓN DE SEGURIDAD: ParseJSS: corrección fuera de los límites de lectura
- fix-CVE-2017-8313.patch
- CVE-2017-8313
- Simon Quigley Sun, 09 de julio de 2017 22:37:06 -0500
Si observa la fecha, estas vulnerabilidades se corrigieron en el repositorio de Ubuntu el 09 de julio de 2017, aunque el artículo indica que VLC solucionó estas vulnerabilidades en mayo de 2017.
Entonces, ¿fue mi computadora vulnerable a este hackeo todo este tiempo? Y si es así, ¿cuál es la culpa? ¿Fue culpa del equipo de VLC que realmente no impulsó las correcciones, o fue el error del equipo de la comunidad que no corrigió la versión de VLC disponible en los repositorios de Ubuntu del universo?
NOTA : No estoy criticando a estos dos equipos maravillosos (Ubuntu y VLC), están haciendo un excelente trabajo y creando excelentes programas. Sólo quiero entender lo que pasó aquí. Gracias.