VLC Media Player 3.0.11 Rilasciato: corretto difetto di esecuzione del codice in modalità remota
L’aggiornamento di VLC Player include correzioni per i difetti di esecuzione del codice remoto
Secondo quanto riferito, VideoLan ha rilasciato una nuova versione del suo lettore multimediale ampiamente usato chiamato VLC Media Player 3.0.11 che è disponibile anche per diverse piattaforme come Windows, Mac e Linux. Questo nuovo aggiornamento include varie correzioni di bug e miglioramenti, tuttavia ha anche risolto la vulnerabilità di sicurezza che potrebbe indurre gli hacker a eseguire comandi o a bloccare VLC su computer vulnerabili.
La vulnerabilità sopra menzionata in VLC è tracciata come CVE-2020-13428 ed è anche chiamata “overflow del buffer nel pacchetto H26X di VLC” che consentirebbe agli hacker di eseguire vari comandi, e questo è troppo sotto lo stesso livello di sicurezza dell’utente, ma se quelli le vulnerabilità sono adeguatamente sfruttate.
Secondo quanto riportato da VideoLan, questa vulnerabilità menzionata può essere sfruttata creando un file appositamente sviluppato e imponendo a un utente target di fare clic sul file per aprirlo con VLC.
Inoltre, la società deve dire che la vulnerabilità porterà sicuramente il crash del giocatore, tuttavia potrebbe anche essere utilizzato dagli attaccanti come menzionato per eseguire comandi su base remota. Ecco la dichiarazione di VideoLan:
"In caso di successo, una terza parte malintenzionata potrebbe innescare un arresto anomalo di VLC o l'esecuzione di un codice di arbitraggio con i privilegi dell'utente di destinazione. Sebbene questi problemi di per sé abbiano più probabilità di arrestare semplicemente il lettore, non possiamo escludere che potrebbero essere combinati per perdere informazioni sugli utenti o eseguire codice in remoto. ASLR e DEP aiutano a ridurre la probabilità di esecuzione del codice, ma possono essere ignorati. Non abbiamo visto exploit che eseguono l'esecuzione di codice attraverso questa vulnerabilità "
Poiché le vulnerabilità discusse e la sua divulgazione al pubblico in merito al codice problematico, si suggerisce a tutti gli utenti di scaricare e installare l’ultima versione di VLC sul proprio computer. Qui citato il registro completo delle modifiche per la versione più recente:
Risolve le regressioni HLS Risolve un potenziale arresto anomalo all'avvio su macOS Risolve la ricerca imprecisa nei file m4a Risolve il ricampionamento su Android Risolve un arresto anomalo quando si elencano mountpoint bluray su macOS Evita inutili avvisi di autorizzazione su macOS Risolve il silenzio permanente su macOS dopo aver messo in pausa la riproduzione Risolve la regressione della riproduzione AAC E un problema di sicurezza