Vulnerabilitatea VLC Player permite executarea de coduri malițioase

A fost identificată o vulnerabilitate critică în playerul media VLC, care permite atacatorilor să execute coduri malițioase pe computerele utilizatorilor.

Vulnerabilitatea, detaliată în Buletinul de securitate VLC 3.0.21, afectează versiunile 3.0.20 și anterioare ale popularului media player.

Vulnerabilitatea provine dintr-o eroare de tip potential integer overflow care poate fi declanșată de un flux MMS (Microsoft Media Server) creat în mod malițios, ceea ce duce la o eroare de tip heap-based overflow.

Această vulnerabilitate ar putea permite unei persoane rău intenționate să provoace blocarea VLC-ului sau să execute cod arbitrar cu privilegiile utilizatorului. De asemenea, nu poate fi exclusă posibilitatea ca aceasta să fie combinată cu alte exploatări pentru a scurge informații despre utilizator.

ASLR (Address Space Layout Randomization) și DEP (Data Execution Prevention) contribuie la reducerea riscului de executare a codului, dar aceste protecții pot fi ocolite.

Utilizatorii sunt sfătuiți să nu acceseze stream-uri MMS din surse nesigure sau să dezactiveze plugin-urile browserului VLC până la aplicarea actualizării.

Echipa de dezvoltare VLC a remediat această vulnerabilitate în VLC Media Player versiunea 3.0.21.

Având în vedere gravitatea acestei vulnerabilități, utilizatorii VLC trebuie să își actualizeze software-ul la versiunea 3.0.21 cât mai curând posibil.

Sursă: https://cybersecuritynews.com/vlc-player-malicious-code