Domov      Nastavenia 
RSS English Slovensky

Aktuálne
Zahraničné zdroje
Nahlásené incidenty
1.1.2018 - 31.12.2018
 

Graf

Kritická zraniteľnosť VLC Media Player

24.07.2019
V multimediálnom prehrávači VLC Media Player bola nájdená kritická zraniteľnosť, ktorá útočníkom umožňuje prevziať kontrolu nad zraniteľným zariadením, vykonávať na ňom vzdialene kód, spôsobiť nedostupnosť jeho služieb, pristupovať k súborom a informáciám a manipulovať s nimi. K tomu nie sú potrebné systémové oprávnenia, ani interakcia obete.

 

Dôsledky

  • Prevzatie kontroly nad zraniteľným zariadením
  • Vzdialené vykonávanie kódu

Opis činnosti
CVE-2019-13615

Obľúbený multimediálny prehrávač VLC Media Player s vyše 3,1 miliardy inštalácií má kritickú zraniteľnosť, ktorá umožňuje útočníkom vzdialene vykonávať kód. Môžu tiež vyvolať nedostupnosť systému (DoS), manipulovať so súbormi a exfiltrovať informácie.

Zraniteľnosť súvisí s chybou čítania mimo medzipamäte haldy. Táto sa konkrétne nachádza v mkv::demux_sys_t::FreeUnused() vo funkcii modules/demux/mkv/demux.cpp, keď je táto funkcia zavolaná z mkv::Open v modules/demux/mkv/mkv.cpp. Pre jej zneužitie nie je potrebná používateľská interakcia, ani systémové práva. Niektorí experti sa však domnievajú, že zraniteľnosť je možné zneužiť po prehraní špeciálne upraveného .mp4 video súboru.

Zraniteľnosť objavil nemecký tím CERT-Bund. Riešenie zatiaľ nie je dostupné. Vývojári pracujú na opravnej aktualizácii.

Aktualizácia 29.7.2019: Vo svetle nových zistení sa javí, že zraniteľnosť nie je tak vážna, ako sa predpokladalo. Chyba sa nachádza v knižnici tretej strany libEBML a bola opravená začiatkom minulého roka. VLC Player by mal používať opravenú knižnicu už od verzie 3.0.3.

Zraniteľné systémy
VLC Player 3.0.7.1 a pravdepodobne aj staršie

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu

Odporúčania
Na aktualizácii sa pracuje, zatiaľ odporúčame zvýšenú obozretnosť a prehrávať filmy len z dôveryhodných zdrojov.
Aktualizácia 29.7.2019: Zraniteľnosť sa nachádza v knižnici tretej strany libEBML a bola opravená začiatkom minulého roka. VLC Player by mal používať opravenú knižnicu od verzie 3.0.3

Odkazy
https://securityaffairs.co/wordpress/88785/hacking/vlc-player-rce.html
https://threatpost.com/vlc-media-player-plagued-by-unpatched-critical-rce-flaw/146611/
https://www.techradar.com/news/vlc-player-has-critical-security-flaw
https://www.welivesecurity.com/2019/07/22/critical-vulnerability-vlc-no-patch/

Aktualizácia 29.7.2019: https://www.zive.cz/clanky/prehravac-vlc-je-bezpecny-chyba-nebyla-ani-tak-v-programu-jako-spis-v-bezpecnostnich-expertech/sc-3-a-199533/default.aspx



<< zoznam oznámení