La Comisión Europea estrena su primer bug bounty con VLC

La Comisión Europea ha anunciado su primer programa de recompensa de errores (bug bounty). El beneficiario inicial de esta búsqueda de vulnerabilidades y exploits será el reproductor multimedia VLC, posiblemente el más popular en su campo.

Esta medida forma parte del programa EU-FOSSA (EU-Free and Open Source Software Auditing), que cuenta con un presupuesto anual de 1.9 millones de euros. EU-FOSSA tiene entre sus objetivos, el de mejorar la seguridad de proyectos críticos de código abierto, para su uso por parte de las instituciones de la Unión Europea, así como del público en general.

Entre las actividades ya realizadas, figuran las auditorías de programas como el gestor de contraseñas KeePass y el servidor web Apache (ambos fueron seleccionados mediante una encuesta pública, en la que VLC quedó tercero).

El bug bounty de VLC se realizará a través de la plataforma especializada HackerOne e inicialmente se ejecutará de forma restringida. Solo tendrán acceso aquellos expertos de seguridad que hayan sido invitados al mismo por parte de VLC, teniendo en cuenta su reputación y participación en programas similares.

Transcurridas las tres primeras semanas, estará abierto a todo aquel que quiera participar, examinando el código de VLC y comunicando los errores que se puedan detectar.

El importe de las recompensas oscila entre los 100 y 3000 euros, pudiéndose presentar las vulnerabilidades detectadas hasta finales de enero. Eso siempre que no se agote antes el dinero presupuestado para dicho fin.

El equipo de VLC cualificará a su discreción los errores presentados, los cuales serán recompensados en función de su gravedad e impacto.

VLC es software libre y multiplataforma, estando disponible para los principales sistemas operativos de escritorio y móviles. Esperemos que esta auditoria, sirva para hacerlo todavía mejor y más seguro, en especial su nueva versión VLC 3.0, que en breve debería estar disponible.

Vía | elotrolado

9 thoughts on “La Comisión Europea estrena su primer bug bounty con VLC”

  1. carlosky77 says:

    Saliendo un poco del tema, VLC es mi segunda opción en reproductores. El primero es SMPlayer que lo encuentro más fácil e intuitivo. Sin embargo, VLC es todo terreno y cuando SMPlayer no puede reproducir una película recurro a VLC que generalmente si lo reproduce.

    Y sobre el artículo, espero que auditen para los 3 ó 4 sistemas operativos (Linux, Winbugs, mac y BSD) para saber en donde se encuentran más bugs. Aunque lo más probable que Videolan estén más enfocados en la versión para Winbugs por su alto riesgo en contraer virus y otros programas malignos. Lo mismo hace Mozilla con Firefox para Winbugs.

    1. alunadodo says:

      che carlos! SMPlayer es una interfaz grafica, no es un reproductor en si mismo. Puede utilizar a conveniencia y segun la paqueteria disponible o politica de cada distribucion mplayer2 o mpv como mortor de video, heredando de estos en gran medida sus accesos directos y configuraciones por defecto.
      A su vez mpv es un fork de mplayer2, que me parece esta algo descontinuado o desatendido.
      Yo personalmente uso mpv a pelo, sin el entorno de smplayer ya que hago todo -o al menos bastante- mediante accesos directos. Ganas tambien un poco en rendimiento y memoria, pero creo que es poca la diferencia.
      Hay SMPlayer para windows donde lo probe y su desempeño no es malo, pero deja algo que desear. Ahora tambien compilan mpv directamente para “la plataforma del mal”, asi que tampoco resulta tan necesario alli,

  2. 4ng3l says:

    VLC es software de primera categoría, reproduce prácticamente cualquier formato reproducible y puede hacer casi de todo. Cada vez que le echo un vistazo a la documentación descubro nuevas funciones. Es extraordinaria la forma en que sincroniza el vídeo con el audio o los subtítulos. Bien es cierto que no es muy bonito, pero cumple con si trabajo de sobra.

    Me parece todo un cierto destinar fondos a depurar VLC.

  3. Emanuel Hugo Fernandez says:

    Yo encontré un bug muy molesto en vlc. Como puedo obtener la recompensa? xD

    1. tannhausser says:

      Espérate a la pwn20own 2018, seguro que te la pagan mejor 🙂

    2. carlosky77 says:

      Es con invitación. Si no te llegó, reza para que no lo descubran y esperas a un concurso que permita incluir a todas las personas.

      Párrafo textual de la nota:

      “El bug bounty de VLC se realizará a través de la plataforma especializada HackerOne e inicialmente se ejecutará de forma restringida. Solo tendrán acceso aquellos expertos de seguridad que hayan sido invitados al mismo por parte de VLC, teniendo en cuenta su reputación y participación en programas similares.”

      1. hathor says:

        Transcurridas las tres primeras semanas, estará abierto a todo aquel que quiera participar, examinando el código de VLC y comunicando los errores que se puedan detectar.

        1. carlosky77 says:

          Que bueno para el socio que preguntó. Así podrá tener dinero en el bolsillo.

  4. alunado says:

    VLC hace al menos 3 o 4 años que posee un bug con el administrador de ventanas de xfce4. Si este se encuentra maximizado y se quiere pasar a pantalla completa (full screen) sucede que no se esconde jamas la barra de tareas. Se lo debe llevar a pantalla completa desde un tamaño reducido de ventana, o al menos no maximizado, para que quede como unico programa visible.
    Ahorita mismo en xfce 4.12 y debian 9 sigue sucediendio.
    5 euros vale ese bug por lo menos che!!

Responder a hathor Cancelar respuesta