Un ricercatore di sicurezza ha annunciato la scoperta di una vulnerabilità critica in due dei lettori multimediali più popolari - MPlayer e VLC. Il problema è stato trovato nei media in streaming LIVE555 biblioteca che viene utilizzato sia nelle applicazioni e monitorati nella consulenza CVE-2018-4013.
CVE-2018-4013: VLC e MPlayer vulnerabilità causata da LIVE555 Media Streaming Biblioteca
I due più diffusi lettori multimediali VLC e MPlayer sono stati trovati a risentire la stessa vulnerabilità. Questo era segnalati da un ricercatore di sicurezza che ha scoperto che la radice della causa è il LIVE555 libreria di media streaming quale sia l'uso. E 'mantenuto dalla società diretta Reti e serve per garantire la compatibilità con i protocolli RTP e SIP ed elaborazione vari formati audio e video. Senza di essa VLC e MPlayer non saranno in grado di riprodurre streaming media, che è una delle loro caratteristiche più importanti.
L'advisory CVE-2018-4013 è stato assegnato alla vulnerabilità, esso indica che le versioni senza patch del software permette a milioni di utenti in tutto il mondo a diventare possibili vittime di attacchi di hacker. La ragione di questo è il modo in cui le richieste HTTP sono fatti. Hacker possono creare un pacchetto speciale causando un buffer overflow stack-based che può essere utilizzato per l'esecuzione di codice. La descrizione completa della consulenza CVE-2018-4013 legge la seguente:
Una vulnerabilità legata all'esecuzione di codice sfruttabili esiste nella funzionalità HTTP pacchetto parsing della versione della libreria del server RTSP LIVE555 0.92. Un pacchetto appositamente predisposto può causare un buffer overflow stack-based, l'esecuzione di codice. Un utente malintenzionato può inviare un pacchetto per far scattare questa vulnerabilità.
Questi due programmi sono tra i software di terze parti più comunemente installati dagli utenti finali e questo è il motivo per cui tali problemi vengono automaticamente classificati come importanti ripercussioni. Tuttavia il rapporto di sicurezza non indica che il problema non si trova all'interno della base di codice delle applicazioni, ma piuttosto componenti che vengono sviluppati da fonti esterne e utilizzato per migliorare le funzioni del lettore. In questo caso particolare, la componente di streaming media è essenziale per fornire una delle funzioni principali.
Entrambi i giocatori hanno emesso gli aggiornamenti di sicurezza e gli utenti sono invitati a applicarle al più presto possibile.