VLC Media Player 3.0.11: Διορθώνει σοβαρό σφάλμα απομακρυσμένης εκτέλεσης κώδικα

17 Ιουνίου 2020, 11:05

Η VideoLan κυκλοφόρησε το VLC Media Player 3.0.11 και είναι πλέον διαθέσιμο για Windows, Mac και Linux. Εκτός από τις διορθώσεις σφαλμάτων και τις βελτιώσεις, αυτή η έκδοση διορθώνει επίσης ένα σφάλμα ασφαλείας που θα μπορούσε να επιτρέψει σε χάκερς να εκτελέσουν απομακρυσμένες εντολές ή να συντρίψουν το VLC σε έναν ευάλωτο υπολογιστή. Αυτό το σφάλμα εντοπίζεται ως CVE-2020-13428 και είναι υπερχείλιση της προσωρινής μνήμης στο VLC’s H26X packetizer, έτσι, θα μπορούσε να επιτρέψει σε χάκερς να εκτελέσουν εντολές κάτω από το ίδιο επίπεδο ασφάλειας με τον χρήστη, εάν αξιοποιηθεί σωστά.

Σύμφωνα με το ενημερωτικό δελτίο ασφαλείας της VideoLan, αυτό το σφάλμα μπορεί να χρησιμοποιηθεί με την δημιουργία ενός ειδικά κατασκευασμένου αρχείου και την εξαπάτηση ενός χρήστη να το ανοίξει με VLC. Ενώ η VideoLan δηλώνει ότι αυτό το σφάλμα πιθανότατα θα συντρίψει τη συσκευή αναπαραγωγής, προειδοποιεί ότι θα μπορούσε να χρησιμοποιηθεί από χάκερς για την εκτέλεση εντολών κάτω από το επίπεδο ασφαλείας του χρήστη, από απόσταση. Εάν η εκμετάλλευση του σφάλματος είναι επιτυχής, ένα κακόβουλο τρίτο μέρος θα μπορούσε να προκαλέσει διακοπή λειτουργίας του VLC ή αυθαίρετη εκτέλεση κώδικα με τα προνόμια του χρήστη-στόχου.

Παρόλο που αυτά τα ζητήματα από μόνα τους είναι πιθανό να συντρίψουν το πρόγραμμα αναπαραγωγής, δεν μπορεί να αποκλειστεί το ενδεχόμενο να συνδυαστούν για τη διαρροή πληροφοριών χρήστη ή για την απομακρυσμένη εκτέλεση κώδικα. Τα ASLR και DEP συμβάλλουν στη μείωση της πιθανότητας εκτέλεσης κώδικα, αλλά ενδέχεται να παρακαμφθούν. Δεν έχουν παρατηρηθεί εκμεταλλεύσεις που εκτελούν εκτέλεση κώδικα μέσω αυτών των τρωτών σημείων. Λόγω της σοβαρότητας αυτού του σφάλματος και της δημόσιας αποκάλυψης του προβληματικού κώδικα, συνιστάται σε όλους τους χρήστες να κατεβάσουν και να εγκαταστήσουν το VLC Media Player 3.0.11.

Η έκδοση 3.0.11 κάνει τα ακόλουθα: