En sikkerhedsekspert har annonceret opdagelsen af en kritisk sårbarhed i to af de mest populære medieafspillere - MPlayer og VLC. Spørgsmålet blev fundet i LIVE555 media streaming bibliotek, som er anvendt i begge programmer og spores i CVE-2018-4013 rådgivende.
CVE-2018-4013: VLC og MPlayer sårbarhed som følge af Live555 Media Streaming Bibliotek
De to populære medieafspillere VLC og MPlayer viste sig at være påvirket af den samme sårbarhed. Dette var rapporteret en sikkerhed forsker, der fandt, at roden af årsagen er den LIVE555 mediestreaming bibliotek, som de begge brug. Det vedligeholdes af Live Networks selskab og tjener til at give kompatibilitet med RTP og SIP-protokoller og behandling af forskellige lyd-og videoformater. Uden det VLC og MPlayer ikke vil være i stand til at spille streaming media som er en af deres vigtigste funktioner.
Den CVE-2018-4013 rådgivende er blevet tildelt til sårbarheden, betyder det, at unpatched versioner af softwaren giver millioner af brugere verden over til at blive mulige ofre for hackerangreb. Grunden til dette er den måde, HTTP-forespørgsler er lavet. Hackere kan udforme en særlig pakke forårsager en stabel-baseret buffer overflow, der kan anvendes til udførelse af kode. Den fulde beskrivelse af CVE-2018-4013 rådgivende læser følgende:
En udnyttes kode sårbarhed i HTTP-pakke-parsing funktionalitet LIVE555 RTSP-server bibliotek udgave 0.92. En specielt udformet pakke kan forårsage en stabel-baseret buffer overflow, resulterer i programkode. En hacker kan sende en pakke til at udløse denne sårbarhed.
Disse to programmer er blandt de mest almindeligt installeret tredjepartssoftware af slutbrugere, og dette er grunden til, at sådanne problemer bliver automatisk klassificeret som store konsekvenser. sikkerhedsrapporten betyder dog indikere, at problemet ikke ligger indenfor den kodebase af ansøgningerne, men snarere komponenter, der er udviklet af eksterne kilder og anvendes til at øge spillerens funktioner. I dette særlige tilfælde mediestreaming komponent er essentiel til tilvejebringelse af en af de centrale funktioner.
Begge spillere har udstedt sikkerhedsopdateringer og brugere rådes til at anvende dem så hurtigt som muligt.
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: