ΑρχικήΛογισμικάVLC Media Player: Κενό ασφαλείας επιτρέπει την εκτέλεση κακόβουλου κώδικα

VLC Media Player: Κενό ασφαλείας επιτρέπει την εκτέλεση κακόβουλου κώδικα

Μέσω ενός ειδικά σχεδιασμένου MMS-Stream, μπορεί να προκληθεί η κατάρρευση του VLC Player. Σύμφωνα με την VideoLAN, είναι πιθανή και η εκτέλεση κακόβουλου κώδικα.

Μια ευπάθεια στον VLC Media Player, ένα δημοφιλές και δωρεάν πρόγραμμα αναπαραγωγής πολυμέσων, επιτρέπει στους επιτιθέμενους να προκαλέσουν σφάλμα ή ακόμα και να εκτελέσουν κακόβουλο κώδικα στον υπολογιστή του θύματος.

Όπως προκύπτει από ένα δελτίο αναφοράς που σχετίζεται με την ασφάλεια του συγκεκριμένου πρόγραμματος, το οποίο δημοσιεύθηκε από την προγραμματίστρια εταιρεία VideoLAN, πρόκειται για μια ευπάθεια DoS (Denial of Service), η οποία βασίζεται στο «heap-based integer overflow».

Η εκμετάλλευση της ευπάθειας αυτής μπορεί να πραγματοποιηθεί μέσω ενός ειδικά διαμορφωμένου MMS-Stream (Microsoft Media Server), ο οποίος πρέπει να ανοιχθεί ενεργά από τον χρήστη στο VLC. “Σε περίπτωση επιτυχίας, το κακόβουλο πρόγραμμα θα μπορούσε είτε να προκαλέσει κατάρρευση του VLC είτε να εκτελέσει αυθαίρετο κώδικα με τα δικαιώματα του χρήστη στόχου”, εξηγεί ο προγραμματιστής της εφαρμογής.

Η VideoLAN θεωρεί ότι η εκμετάλλευση της ευπάθειας πιθανότατα οδηγεί μόνο στην κατάρρευση της εφαρμογής. Ωστόσο, δεν αποκλείεται ότι ένας επιτιθέμενος θα μπορούσε να συλλέξει τις πληροφορίες του χρήστη ή να εκτελέσει απομακρυσμένα αυθαίρετο κώδικα (RCE), όπως αναφέρεται στο δελτίο.

Η ASLR (Address Space Layout Randomization) και η DEP (Data Execution Prevention) συμβάλλουν μεν στη μείωση της πιθανότητας εκτέλεσης κώδικα, αλλά μπορούν να παρακαμφθούν, σύμφωνα με τον προγραμματιστή.

Υπάρχει ένα patch διαθέσιμο για την αντιμετώπιση του προβλήματος

Ευάλωτες είναι όλες οι εκδόσεις του VLC έως και την έκδοση 3.0.20. Οι λεπτομέρειες σχετικά με το πως μπορεί να εκμεταλλευτεί κανείς την ευπάθεια αυτή δεν είναι ακόμη γνωστές. Η VideoLAN δεν αναφέρει κάποιον αριθμό CVE ή την κατηγοριοποίηση της σοβαρότητας της ευπάθειας. Ο προγραμματιστής τονίζει, ωστόσο, ότι μέχρι στιγμής δεν έχουν παρατηρηθεί εκμεταλλεύσεις που να επιτρέπουν την εκτέλεση κακόβουλου κώδικα.

Όσοι θέλουν να προστατευτούν από πιθανούς επιθέσεις, μπορούν να το κάνουν μέσω μιας ενημέρωσης που παρέχεται δωρεάν από την ίδια την εταιρεία. Σύμφωνα με την VideoLAN, το πρόβλημα επιλύθηκε με την πρόσφατα κυκλοφορημένη έκδοση 3.0.21 του VLC Media Player. Σε όσους δεν έχουν εγκαταστήσει ακόμα αυτη την ενημέρωση, συνιστάται να αποφεύγουν το άνοιγμα MMS-Streams από μη αξιόπιστες πηγές μέχρι να ενημερώσουν το λογισμικό τους.

Η VideoLAN αναφέρει πως την ευπάθεια την ανακάλυψε ο Andreas Fobian από την εταιρεία κυβερνοασφάλειας Mantodea Security GmbH.

Στέλιος Θεοδωρίδης
Στέλιος Θεοδωρίδης
Ο ήρωας μου είναι ο γάτος μου ο Τσάρλι και ακροάζομαι μόνο Psychedelic Trance
RELATED ARTICLES

Πρόσφατα άρθρα

Tηλέφωνα έκτακτης ανάγκης

Δίωξη Ηλεκτρονικού Εγκλήματος: 11188
Ελληνική Αστυνομία: 100
Χαμόγελο του Παιδιού: 210 3306140
Πυροσβεστική Υπηρεσία: 199
ΕΚΑΒ 166