Zaktualizuj VLC. Luka pozwala na atak złośliwym filmem

Jeśli VLC jest Twoim ulubionym odtwarzaczem, nie odtwarzaj nim materiałów pobranych z niepewnych źródeł. Najlepiej szybko zaktualizuj VLC do wersji 3.0.7.

Zaktualizuj VLC. Luka pozwala na atak złośliwym filmem
Zaktualizuj VLC. Luka pozwala na atak złośliwym filmem

VLC starsze niż 3.0.7 ma dwie poważne luki bezpieczeństwa i kilka pomniejszych błędów. Luki mogą umozliwić wykonanie szkodliwego kodu z poziomu odtwarzacza. Wystarczy, że atakowana osoba odtworzy w VLC specjalnie przygotowany film. Jeśli atak się powiedzie, cyberprzestępcy mogą zdalnie przejąć kontrolę nad systemem. Pierwsza luka zostały odkryte przez Symeona Paraschoudisa z firmy Pen Test Partners. Luka znajduje się w funkcji zlib_decompress_extra. Podatność CVE-2019-12874 można wykorzystać za pośrednictwem szkodliwego pliku MKV, podając nieprawidłowe dane do demuxera Matroska.

Druga krytyczna luka została odkryta przez jego kolegę. CVE-2019-5439 to problem z funkcją ReadFrame. Można ją wykorzystać, podając do odtworzenia wadliwy plik AVI.

Obaj analitycy zaprezentowali przykładowe ataki. W obu przypadkach program niespodziewanie zakończył pracę, co dawało atakującym możliwość wykonania ich kodu z przywilejami aktualnie zalogowanego w systemie użytkownika.

Przygotowanie szkodliwego pliku filmowego nie jest trudne, a przekonanie internautów, by go odtworzyli, jest jeszcze łatwiejsze. Wystarczy obiecać, że w środku ostatni odcinek „Gry o Tron” z alternatywnym zakończeniem albo pornografia z jakąś gwiazdą. VLC jest bardzo popularnym odtwarzaczem, więc z pewnością nie braknie osób, których systemy da się tą drogą zaatakować.

Według VLC systemy, w których działa ASLR (Address space layout randomization) i DEP (Data Execution Prevention), będą odporne na wstępny atak, ale i te zabezpieczenia można obejść. Najlepszym wyjściem będzie aktualizacja VLC przynajmniej do wersji 3.0.7. W przygotowaniu jest już wersja 4.0 popularnego odtwarzacza.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (69)