Złośliwym filmem można przejąć komputer? (niezałatana podatność w VLC Player)

22 lipca 2019, 09:52 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Ciekawa podatność, zgłoszona przez niemiecki CERT. „Ausführen beliebigen Programmcodes” to nieco szorstkie „Remote Code Exection” – czyli wykonanie dowolnego kodu w OS ofiary (z uprawnieniami użytkownika VLC).

Aktualizacja: VLC napisał że podatność występowała w zewnętrznej bibliotece i od wersji 3.0.3 playera jest już naprawiona. Z drugiej strony „wycena” podatności zostałą zmniejszona z 9.8 do 5.5.

Z jednej strony problem wygląda na bardzo poważny (CVSS Base score 9.8/10) z drugiej strony Niemcy klasyfikują go z zagrożeniem ‚High’ – nie ‚Critical’.  Na stronie projektu trwają prace nad łatką, dołączony jest też filmik mp4 o dość znamiennej nazwie: https://trac.videolan.org/vlc/attachment/ticket/22474/heap-over-flow.mp4

Prawdopodobnie więc jeśli podatność da się wykorzystać, trzeba zwabić ofiarę do odgrania odpowiednio spreparowanego filmu.

Jeśli ktoś dawno nie łatał VLC to czas na porządki – w tym roku załatano inną krytyczną podatność w tym popularnym odtwarzaczu  (a łatka na opisywany tutaj problem zapewne pojawi się lada chwila).

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    A wiecie może jak z bezpieczeństwem innych playerów, np. KMPlayer, którego osobiście używam?

    Odpowiedz

Odpowiedz