Korzystasz z VLC playera? Złośliwym filmem można przejąć Twój komputer

Może wydawać się, że przejęcie kontroli nad systemem dzięki otwarciu pliku AVI lub MKV jest niemożliwe. Tymczasem właśnie odkryto podatności (CVE-2019-12874 i CVE-2019-5439) w bardzo znanym odtwarzaczu VLC, a dokładniej w jego funkcjach ReadFrame i zlib_decompress_extra(). Schemat ataku jest prosty – wystarczy, że użytkownik uruchomi odpowiednio spreparowany plik w jednym z dwóch wymienionych formatów i atakujący ma kontrolę nad systemem z uprawnieniami ofiary. Było to możliwe dzięki obecności buffer overflow w VLC.

Jak wspomniałem, atakujący uzyskiwał dostęp do systemu z uprawnieniami zalogowanego użytkownika. Luka działała na wszystkich platformach (Windows, Linux, macOS), ale osoby korzystające z Windows mogły mieć największy problem, bo w tym systemie użytkownicy często pracują z uprawnieniami administratora. 

O popularności VLC świadczy ilość recenzji i wysoka ocena.

Nazwa VLC to skrót od VideoLAN Client, bo program ten potrafi strumieniować media przez protokół HTTP. Ciekawe jest więc pytanie, czy ostateczni odbiorcy treści również są narażeni na atak. Poza tym VLC oferuje plugin do przeglądarek (ostatnia aktualizacja w Chrome Web Store pochodzi z 23 grudnia 2015, ale sam dodatek jest niekompatybilny). Podsumowując, należy aktualizować oprogramowanie (podatność załatano w najnowszej wersji VLC), korzystać z konta z ograniczonymi uprawnieniami oraz nie uruchamiać plików z niezaufanych źródeł.

–mg