1238,2
Рейтинг
Selectel
ИТ-инфраструктура для бизнеса

Устранена уязвимость в плеере VLC, допускающая удаленное выполнение кода

Блог компании SelectelИнформационная безопасностьOpen source
Unsplash

Вышло обновление медиаплеера VLC, устраняющее внезапный сбой плеера, а также удаленное выполнение кода.

Обновление медиаплеера VLC Media Player 3.0.12 вышло не так давно. Из важного в обновлении — оно улучшит пользовательский опыт для владельцев Mac. Но об этом уже рассказывали. Однако есть еще один важный момент уже в отношении информационной безопасности. Обновление исправляет критичные для безопасности проблемы.

Что за проблемы у плеера




Уязвимости обнаружил Чжэнь Чжоу из группы NSFOCUS. Они давали возможность злоумышленнику запустить удаленное выполнение кода на других компьютерах.

Речь о переполнении буфера. Причина проблемы — переполнение буфера, следствие записи данных вне выделенной области памяти. Подобная проблема вызвана ошибочной работой с вводимыми данными и памятью. В итоге могут быть повреждены данные находящиеся перед или следом за буфером.

Основные проблемы


Ранее эксперты обнаружили сразу несколько проблем с безопасностью плеера.

Первая. Злоумышленник может загрузить и выполнить произвольный код от имени программы и с правами той учетной записи, из-под которой она запущена.

Вторая. Она приводит к аварийному завершению работы медиаплеера, приводящее к отказу в обслуживании.

Согласно данным бюллетеня безопасности плеера обе ошибки были исправлены.

Третья. Также в бюллетене есть упоминание о некорректном разыменовании указателей — invalidpointerdereference. При таком баге программа отправляет запрос по ошибочному пути к определенному участку памяти. Некорректный запрос приводит к сбою. В большинстве случаев в итоге программа аварийно завершает работу.

Для эксплуатации уязвимостей злоумышленнику необходимо запустить специальный файл или подключиться к специальным образом сформированному стриму. После этого развивались два сценария: плеер VLC внезапно отключается или мошенники удаленно запускают произвольный код.

Источник

Разработчики заявляют, что не обнаружили попыток эксплуатации найденных уязвимостей. Но они рекомендуют установить версию VLC Media Player 3.0.12 — для Windows, macOS или Linux.

К слову, в плеере VLC достаточно часто находят проблемы. Но ликвидировать их чаще всего получается до того, как ими начинают пользоваться киберпреступники.

Немного о VLC


VLC — бесплатный и один из самых популярных проигрывателей с открытым исходным кодом. Медиаплеер поддерживает большое количество форматов. VLC воспроизводит множество мультимедийных файлов и сетевые трансляции по самым разным протоколам.

Плеер разрабатывает команда проекта VideoLan. В основном это добровольцы, которые «верят в силу открытого исходного кода».

Проект VideoLAN стартовал как студенческая инициатива в 1996 году во Франции. Сейчас в проекте принимают участие разработчики из 40 стран.

Теги:VLCvlc media playeropen sourceразработкауязвимостьбагибезопасность
Хабы: Блог компании Selectel Информационная безопасность Open source
+12
3k 9
Комментарии 3

Похожие публикации

Лучшие публикации за сутки