Zaktualizuj VLC. Luka pozwala na atak złośliwym filmem

Jeśli VLC jest Twoim ulubionym odtwarzaczem, nie odtwarzaj nim materiałów pobranych z niepewnych źródeł. Najlepiej szybko zaktualizuj VLC do wersji 3.0.7.

VLC starsze niż 3.0.7 ma dwie poważne luki bezpieczeństwa i kilka pomniejszych błędów. Luki mogą umozliwić wykonanie szkodliwego kodu z poziomu odtwarzacza. Wystarczy, że atakowana osoba odtworzy w VLC specjalnie przygotowany film. Jeśli atak się powiedzie, cyberprzestępcy mogą zdalnie przejąć kontrolę nad systemem. Pierwsza luka zostały odkryte przez Symeona Paraschoudisa z firmy Pen Test Partners. Luka znajduje się w funkcji zlib_decompress_extra. Podatność CVE-2019-12874 można wykorzystać za pośrednictwem szkodliwego pliku MKV, podając nieprawidłowe dane do demuxera Matroska.

Druga krytyczna luka została odkryta przez jego kolegę. CVE-2019-5439 to problem z funkcją ReadFrame. Można ją wykorzystać, podając do odtworzenia wadliwy plik AVI.

Obaj analitycy zaprezentowali przykładowe ataki. W obu przypadkach program niespodziewanie zakończył pracę, co dawało atakującym możliwość wykonania ich kodu z przywilejami aktualnie zalogowanego w systemie użytkownika.

Przygotowanie szkodliwego pliku filmowego nie jest trudne, a przekonanie internautów, by go odtworzyli, jest jeszcze łatwiejsze. Wystarczy obiecać, że w środku ostatni odcinek „Gry o Tron” z alternatywnym zakończeniem albo pornografia z jakąś gwiazdą. VLC jest bardzo popularnym odtwarzaczem, więc z pewnością nie braknie osób, których systemy da się tą drogą zaatakować.

Według VLC systemy, w których działa ASLR (Address space layout randomization) i DEP (Data Execution Prevention), będą odporne na wstępny atak, ale i te zabezpieczenia można obejść. Najlepszym wyjściem będzie aktualizacja VLC przynajmniej do wersji 3.0.7. W przygotowaniu jest już wersja 4.0 popularnego odtwarzacza.