Specialistii in securitate de la Centrul Național de Răspuns la Incidente de Securitate Cibernetică din Germania au emis un avertisment de securitate, cu privire la folosirea player-ului VLC media. Acesta prezinta o vulnerabilitate severă, care afectează acest software open source extrem de popular.
„Un atacator de la distanță, anonim, poate exploata vulnerabilitatea din VLC pentru a executa un cod arbitrar, a provoca o stare de blocare a serviciului (denial-of-service), a exfiltra informații sau a manipula fișiere”, a declarat CERT-Bund.
Problema de corupere a memoriei ar fi localizată în cea mai recentă versiune a playerului, 3.0.7.1, dar poate fi prezentă și în versiunile anterioare. Aceasta afectează versiunile programului pentru Windows, Linux și UNIX și a obținut un scor de 4 din 5 ca scară de gravitate, din partea agenției germane.
Conform celor de la NIST (National Vulnerability Database – NVD), bug-ul este „critic”, având un scor de 9.8 din 10 pe scara Common Vulnerability Scoring System (CVSS). Aceasta se datorează unei stări de memorie supraîncărcată bazată pe memoria heap și se înscadrează a identificatorul CWE-119. Nu sunt necesare privilegii de sistem și nici interacțiunea cu utilizatorul pentru o exploatare cu succes a acestei vulnerabilități, detectată ca CVE-2019-13615.
Desi specialistii in securitate nu au semnalat acest lucru se vehiculeaza ca exploatarea poate necesita un fișier special .mp4 pentru a afecta un sistem.
In prezent nu a fost lansata nici un patch de securitate pentru aceasta vulnerabilitate. Mai mult decat atat, pe site-ul oficial este disponibila in continuare aceeasi versiune a celebrului player media. S-ar parea, totusi, ca rezolvarea acestei situații este de mare prioritate pentru dezvioltatorii VLC.
Partea bună este că nu au fost înregistrate cazuri în care această lacună să fi fost exploatată activ. Însă, până ce patch-ul va fi lansat, probabil că ar fi mai bine ca acest player să nu fie folosit deloc.
VLC media player se mândrește cu mai mult de 3,1 miliarde de instalări în diferite sisteme de operare și versiuni diferite de lansare, iar acest număr nu echivalează nici pe departe numărul de sisteme afectate.