Přehrávání neznámých videí přes VLC může být rizikové

28. 6. 2019 v sekci Článek

VLC Player je hojně rozšířený a používaný multimediální přehrávač. Uživatelé, kteří si nestáhli nejnovější bezpečnostní update, jsou nyní vystaveni riziku v případě přehrávání podvodných videí. V krajním případě může spuštěním nebezpečného videa dokonce útočník převzít vzdáleně kontrolu nad napadeným počítačem.

S více než třemi miliardami stažení je VLC player jeden z nejpopulárnějších opensourcových multimediálních přehrávačů. Uživatelé jej používají na všech hlavních platformách, jako jsou Windows, MacOS, Linux, ale i na mobilních systémech Android a iOS.

VLC do verze 3.0.7 obsahuje dvě kritické zranitelnosti, na které upozornili experti z Pen Test Partners. Vedle středně a méně závažných nedostatků nesou tyto chyby i možnost spouštění libovolných kódů. Vysoce závažná chyba označená CVE-2019-12874 se nachází ve funkci „zlib_decompress_extra“ a spouští se při analýze chybného souboru MKV přes Matroska demuxer. Druhá chyba, které byla označena jako CVE-2019-5439, představuje problém při čtení vyrovnávací paměti ve funkci „ReadFrame“ a může být spuštěna při pokusu přehrát chybný AVI soubor.

Prostřednictvím PoC odborníci demonstrovali, jak chyby mohou zapříčit pád aplikace a jak může potenciální útočník tyto zranitelnost zneužít ke spouštění arbitrárního kódu se stejnými uživatelskými právy, jako má zrovna uživatel. Jediné, co potenciální útočník potřebuje, je vytvořit nebezpečný MKV nebo AVI video soubor, doručit jej uživateli a nechat ho, aby video spustit v neopatchované verzi VLC playeru.

Pravidelné updaty a aktualizace softwaru, aplikací a operačních systémů jsou jedním ze základů kybernetické bezpečnosti.

Zdroj: THN






Tento web používá cookies. Více informací ROZUMÍM