Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Złośliwym filmem można przejąć komputer? (niezałatana podatność w VLC Player)
Ciekawa podatność, zgłoszona przez niemiecki CERT. „Ausführen beliebigen Programmcodes” to nieco szorstkie „Remote Code Exection” – czyli wykonanie dowolnego kodu w OS ofiary (z uprawnieniami użytkownika VLC).
Aktualizacja: VLC napisał że podatność występowała w zewnętrznej bibliotece i od wersji 3.0.3 playera jest już naprawiona. Z drugiej strony „wycena” podatności zostałą zmniejszona z 9.8 do 5.5.
Z jednej strony problem wygląda na bardzo poważny (CVSS Base score 9.8/10) z drugiej strony Niemcy klasyfikują go z zagrożeniem 'High’ – nie 'Critical’. Na stronie projektu trwają prace nad łatką, dołączony jest też filmik mp4 o dość znamiennej nazwie: https://trac.videolan.org/vlc/attachment/ticket/22474/heap-over-flow.mp4
Prawdopodobnie więc jeśli podatność da się wykorzystać, trzeba zwabić ofiarę do odgrania odpowiednio spreparowanego filmu.
Jeśli ktoś dawno nie łatał VLC to czas na porządki – w tym roku załatano inną krytyczną podatność w tym popularnym odtwarzaczu (a łatka na opisywany tutaj problem zapewne pojawi się lada chwila).
–ms
A wiecie może jak z bezpieczeństwem innych playerów, np. KMPlayer, którego osobiście używam?