Οι χρήστες του δημοφιλούς προγράμματος VLC Media Player καλούνται να αναβαθμίσουν άμεσα το λογισμικό τους, μετά την ανακάλυψη μιας κρίσιμης ευπάθειας που θα μπορούσε να επιτρέψει σε hackers να διακόψουν τη λειτουργία του προγράμματος ή ακόμη και να εκτελέσουν αυθαίρετο κώδικα.
Η ευπάθεια, γνωστή ως CVE-2024-46461, έχει βαθμολογία CVSS 8,0, υποδεικνύοντας τη σοβαρότητά της. Προέρχεται από μια πιθανή υπερχείλιση ακεραίων που ενεργοποιείται όταν το VLC επεξεργάζεται ένα κακόβουλα δημιουργημένο MMS stream.
Διαβάστε επίσης: Ελαττώματα CUPS επιτρέπουν απομακρυσμένη εκτέλεση κώδικα Linux
Αν και το πιο πιθανό αποτέλεσμα είναι απλά ένα crash του προγράμματος, οι ειδικοί ασφαλείας προειδοποιούν ότι, σε συνδυασμό με άλλες ευπάθειες, αυτό το ελάττωμα θα μπορούσε να οδηγήσει σε διαρροές πληροφοριών ή απομακρυσμένη εκτέλεση κώδικα.
5 βασικές συμβουλές ασφαλείας για τους gamers
NASA: Θέλει να στείλει αστροναύτες στον Άρη έως το 2035
Γιατί αναβάλλεται η εκτόξευση του Europa Clipper;
«Αν και αυτά τα ζητήματα πιθανότατα θα προκαλέσουν απλώς ένα crash του προγράμματος αναπαραγωγής, δεν μπορούμε να αποκλείσουμε το ενδεχόμενο να συνδυαστούν για τη διαρροή πληροφοριών χρηστών ή την απομακρυσμένη εκτέλεση κώδικα. Το ASLR και το DEP συμβάλλουν στη μείωση της πιθανότητας εκτέλεσης κώδικα, αλλά μπορεί να παρακαμφθούν», ανέφερε η VLC.
Η ευπάθεια αποκαλύφθηκε υπεύθυνα από τον Andreas Fobian της Mantodea Security GmbH, ο οποίος εξασφάλισε ότι έχουν ήδη αναπτυχθεί διορθώσεις για την αποφυγή εκμετάλλευσης. Μέχρι στιγμής, δεν έχουν καταγραφεί γνωστές επιθέσεις στον πραγματικό κόσμο που να εκμεταλλεύονται αυτή την ευπάθεια, αλλά ο κίνδυνος παραμένει σημαντικός και απαιτεί άμεση προσοχή.
Δείτε περισσότερα: Η Cisco διορθώνει σοβαρές ευπάθειες στο λογισμικό IOS
Τα καλά νέα είναι ότι η εκμετάλλευση του CVE-2024-46461 απαιτεί συγκεκριμένες ενέργειες από τον χρήστη, δηλαδή μόνο όταν ο χρήστης-θύμα ανοίγει αποκλειστικά ένα κακόβουλα δημιουργημένο stream MMS.
Ως προληπτικό μέτρο, οι χρήστες θα πρέπει να αποφεύγουν το άνοιγμα ροών MMS από μη αξιόπιστες πηγές μέχρι να εφαρμόσουν την τελευταία ενημέρωση ασφαλείας. Για όσους χρησιμοποιούν πρόσθετα προγράμματα περιήγησης VLC, η προσωρινή απενεργοποίηση αυτών των λειτουργιών μπορεί επίσης να μειώσει την επιφάνεια επίθεσης.
Διαβάστε ακόμη: Ψεύτικα αιτήματα CAPTCHA περιέχουν malware
Ο καλύτερος τρόπος δράσης είναι να αναβαθμίσετε το VLC Media Player σας στην έκδοση 3.0.21 ή μεταγενέστερη. Αυτή η τελευταία έκδοση περιλαμβάνει μια ενημερωμένη έκδοση κώδικα που αντιμετωπίζει την ευπάθεια και μειώνει σημαντικά τον κίνδυνο εκμετάλλευσης.
Πηγή: securityonline