VLC'de açık var mı?

Birkaç gün önce VLC’de ciddi bir güvenlik açığı olduğuna dair bir haber dolaşıma girdi. İlk olarak Gizmodo’da “VLC’yi hemen kaldırmak isteyebilirsiniz” başlığıyla yayımlanan haber hızla çeşitli teknoloji ve haber sitelerine yayıldı. Chip Online, haberi “VLC Player’da ciddi bir güvenlik açığı bulundu” başlığı ile görürken  Technopat “VLC Media Player içerisinde kritik güvenlik açığı keşfedildi” başlığını tercih etmişti. Her iki site de -tıpkı Gizmodo gibi- önce açığın ne kadar kritik ve önemli olduğundan, saldırganların uzaktan kod çalıştırmasını sağlayabileceğinden bahsediyor ardından da açığın yaması üzerinde çalışıldığını ancak yamanın henüz yüzde 60 oranında tamamlanabildiği bilgisini veriyordu. İlk haberlerin yayılmasından kısa bir süre sonra VLC’nin yapımcısı VideoLAN, Twitter hesabından gerçekte ne olduğuna dair uzunca bir açıklama yayımladı.

VideoLAN’ın yaptığı açıklamaya göre haber sitelerinde kritik açık, büyük açık, yamanın yüzde 60’ı hazır vb. iddialarla bahsedilen açık üçüncü parti bir kütüphaneden kaynaklanıyordu ve 16 ay önce VLC 3.0.3 versiyonunda yamanmıştı. Üstelik uzaktaki bir saldırganın bilgisayarınızı ele geçirmesine falan da yol açmıyordu. Eski sürüm VLC kullanan bir kullanıcı VLC’nin kamuya açık hata takip sisteminde konuya dair bir girdi oluşturmuştu. Bilinen açıkları listeleyen CVE sisteminden sorumlu Mitre adlı şirketi bu 16 ay önce yamanmış açığa VideoLAN ile irtibata geçme ya da açığın varlığını doğrulama gereği dahi duymadan bir CVE kaydı oluşturmuş, ardından da Alman federal bilişim acil durum müdahale ekibi CERT-Bund yine açığı doğrulamaya zahmet etmeden açığı ifşa eden bir güvenlik bülteni yayımlamıştı. Hata takip sisteminde kaydı oluşturan kullanıcı tarafından “iş durumu” alanına yazılan “yüzde 60” bilgisi de trajikomik bir şekilde yapılan haberlerde kendine “Yama yüzde 60 oranında hazır” şeklinde yer buldu.

Özetleyecek olursak, birileri VLC’nin kamuya açık hata takip sisteminde bir açık olduğu iddiasında bulunmuş, bu açığı CVE listesine ekleyen de, bülteninde yayımlayan da, haberini yapan da, yapılmış haberi çevirip yeniden yayımlayan da kontrol etme ya da VideoLAN’a sorma zahmetine girmemişti.

Piyasadaki en iyi medya oynatıcılardan biri olan VLC’yi ücretsiz ve açık kaynaklı bir şekilde bize sunan VideoLAN, gönüllülerden oluşan ve kâr amacı gütmeyen bir kuruluş. Sadece VLC’de değil herhangi bir yazılımda açıklar bulunması, bunların keşfedilmesi ve duyurulmasından doğal bir durum yok. Ancak şu tablo bazı soruları da sormayı gerekli kılıyor. 16 ay önce yamanmış üçüncü parti kaynaklı bir Google ürünü açığı ya da Microsoft ürünü açığı ya da dev çok uluslu şirketlerden birinin herhangi bir ürünündeki açık benzer şekilde hiç sahibine dahi sormadan CVE listesine girebilir miydi? CERT-Bund’un güvenlik bülteninde yer alabilir miydi? Böyle haber yapılabilir miydi?