Вышло обновление медиаплеера VLC, устраняющее внезапный сбой плеера, а также удаленное выполнение кода.
Обновление медиаплеера VLC Media Player 3.0.12 вышло не так давно. Из важного в обновлении оно улучшит пользовательский опыт для владельцев Mac. Но об этом уже рассказывали. Однако есть еще один важный момент уже в отношении информационной безопасности. Обновление исправляет критичные для безопасности проблемы.
Что за проблемы у плеера
Уязвимости обнаружил Чжэнь Чжоу из группы NSFOCUS. Они давали возможность злоумышленнику запустить удаленное выполнение кода на других компьютерах.
Речь о переполнении буфера. Причина проблемы переполнение буфера, следствие записи данных вне выделенной области памяти. Подобная проблема вызвана ошибочной работой с вводимыми данными и памятью. В итоге могут быть повреждены данные находящиеся перед или следом за буфером.
Основные проблемы
Ранее эксперты обнаружили сразу несколько проблем с безопасностью плеера.
Первая. Злоумышленник может загрузить и выполнить произвольный код от имени программы и с правами той учетной записи, из-под которой она запущена.
Вторая. Она приводит к аварийному завершению работы медиаплеера, приводящее к отказу в обслуживании.
Согласно данным бюллетеня безопасности плеера обе ошибки были исправлены.
Третья. Также в бюллетене есть упоминание о некорректном разыменовании указателей invalidpointerdereference. При таком баге программа отправляет запрос по ошибочному пути к определенному участку памяти. Некорректный запрос приводит к сбою. В большинстве случаев в итоге программа аварийно завершает работу.
Для эксплуатации уязвимостей злоумышленнику необходимо запустить специальный файл или подключиться к специальным образом сформированному стриму. После этого развивались два сценария: плеер VLC внезапно отключается или мошенники удаленно запускают произвольный код.
Разработчики заявляют, что не обнаружили попыток эксплуатации найденных уязвимостей. Но они рекомендуют установить версию VLC Media Player 3.0.12 для Windows, macOS или Linux.
К слову, в плеере VLC достаточно часто находят проблемы. Но ликвидировать их чаще всего получается до того, как ими начинают пользоваться киберпреступники.
Немного о VLC
VLC бесплатный и один из самых популярных проигрывателей с открытым исходным кодом. Медиаплеер поддерживает большое количество форматов. VLC воспроизводит множество мультимедийных файлов и сетевые трансляции по самым разным протоколам.
Плеер разрабатывает команда проекта VideoLan. В основном это добровольцы, которые верят в силу открытого исходного кода.
Проект VideoLAN стартовал как студенческая инициатива в 1996 году во Франции. Сейчас в проекте принимают участие разработчики из 40 стран.
