Luka w VLC Player 3.0.11 pozwala atakującym na zdalne wykonanie kodu.
VLC jest darmowym i opensource’owym, wieloplatformowym odtwarzaczem multimedialnym i frameworkiem, który odtwarza większość plików multimedialnych, jak również DVD, Audio CD, VCD i różne protokoły strumieniowe bez pobierania dodatkowych kodeków.
VideoLan poinformował o załataniu wielu luk w odtwarzaczu VLC. Zagrożone wersje: VLC media player 3.0.11 i wcześniejsze.
Skutki ataku
Jeśli atak się powiedzie, haker może utworzyć specjalnie spreparowany plik, który może wywołać różne problemy w systemie operacyjnym ofiary, w szczególności przepełnienie bufora i błędne odniesienia do nieistniejących lub nieprawidłowych obiektów. W tym scenariuszu, haker może spowodować awarię VLC albo wykonanie dowolnego kodu z uprawnieniami użytkownika docelowego.
Jak podaje VideoLan błędy te same w sobie najprawdopodobniej spowodują jedynie awarię odtwarzacza, ale mogą zostać wykorzystane do uzyskania informacji o użytkowniku lub zdalnego wykonania kodu.
„Nie zaobserwowaliśmy exploitów wykonujących kod poprzez te luki” – zaznaczono w komunikacie.
Wykorzystanie tych błędów wymaga od użytkownika celowego otwarcia specjalnie spreparowanego pliku lub strumienia.
Rozwiązanie
VideoLan deklaruje, że aktualizacja odtwarzacza VLC do wersji 3.0.12 rozwiązuje problem.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
EUROPOL – udana akcja, przejęto infrastrukturę wykorzystywaną do propagacji ataków FluBot