Устранена уязвимость в плеере VLC, допускающая удаленное выполнение кода
Вышло обновление медиаплеера VLC, устраняющее внезапный сбой плеера, а также удаленное выполнение кода.
Обновление медиаплеера VLC Media Player 3.0.12 вышло не так давно. Из важного в обновлении — оно улучшит пользовательский опыт для владельцев Mac. Но об этом уже рассказывали. Однако есть еще один важный момент уже в отношении информационной безопасности. Обновление исправляет критичные для безопасности проблемы.
Что за проблемы у плеера
Уязвимости обнаружил Чжэнь Чжоу из группы NSFOCUS. Они давали возможность злоумышленнику запустить удаленное выполнение кода на других компьютерах.
Речь о переполнении буфера. Причина проблемы — переполнение буфера, следствие записи данных вне выделенной области памяти. Подобная проблема вызвана ошибочной работой с вводимыми данными и памятью. В итоге могут быть повреждены данные находящиеся перед или следом за буфером.
Основные проблемы
Ранее эксперты обнаружили сразу несколько проблем с безопасностью плеера.
Первая. Злоумышленник может загрузить и выполнить произвольный код от имени программы и с правами той учетной записи, из-под которой она запущена.
Вторая. Она приводит к аварийному завершению работы медиаплеера, приводящее к отказу в обслуживании.
Согласно данным бюллетеня безопасности плеера обе ошибки были исправлены.
Третья. Также в бюллетене есть упоминание о некорректном разыменовании указателей — invalidpointerdereference. При таком баге программа отправляет запрос по ошибочному пути к определенному участку памяти. Некорректный запрос приводит к сбою. В большинстве случаев в итоге программа аварийно завершает работу.
Для эксплуатации уязвимостей злоумышленнику необходимо запустить специальный файл или подключиться к специальным образом сформированному стриму. После этого развивались два сценария: плеер VLC внезапно отключается или мошенники удаленно запускают произвольный код.
Разработчики заявляют, что не обнаружили попыток эксплуатации найденных уязвимостей. Но они рекомендуют установить версию VLC Media Player 3.0.12 — для Windows, macOS или Linux.
К слову, в плеере VLC достаточно часто находят проблемы. Но ликвидировать их чаще всего получается до того, как ими начинают пользоваться киберпреступники.
Немного о VLC
VLC — бесплатный и один из самых популярных проигрывателей с открытым исходным кодом. Медиаплеер поддерживает большое количество форматов. VLC воспроизводит множество мультимедийных файлов и сетевые трансляции по самым разным протоколам.
Плеер разрабатывает команда проекта VideoLan. В основном это добровольцы, которые «верят в силу открытого исходного кода».
Проект VideoLAN стартовал как студенческая инициатива в 1996 году во Франции. Сейчас в проекте принимают участие разработчики из 40 стран.