Uma falha de segurança crítica no VLC Media Player foi descoberta recentemente pelo pela empresa de segurança alemã CERT-Bund. Assim, de acordo com a empresa, um ataque bem-sucedido permitiria a execução remota de código. Portanto, uma falha crítica no VLC Media Player descoberto pela agência alemã de segurança cibernética.
A vulnerabilidade existe no VLC Media Player versão 3.0.7.1, de acordo com o comunicado oficial CVE-2019-13615, que é a última versão estável do aplicativo.
O VideoLAN VLC media player 3.0.7.1 possui um buffer baseado em heap sobre-lido em mkv :: demux_sys_t :: FreeUnused () em modules/demux/mkv/demux.cpp quando chamado de mkv::Open em modules/demux/mkv/mkv.cpp”, observa o CVE.
Segundo o documento, uma exploração bem-sucedida da vulnerabilidade permite a divulgação não autorizada de informações, a modificação não autorizada de arquivos e a interrupção do serviço.
Notícias Relacionadas
Falha crítica no VLC Media Player descoberto pela agência alemã de segurança cibernética. Patch já em andamento para todas as plataformas
A empresa-mãe VideoLAN já iniciou o desenvolvimento de um patch há aproximadamente quatro semanas, de acordo com um relatório de bug disponível aqui. A correção já está 60% concluída, conforme o indicador de status de trabalho desta página.
Porém, não há detalhes sobre se a vulnerabilidade foi usada para qualquer ataque. No entanto, agora que a falha de segurança é pública, há uma chance de que o número de ataques possa aumentar, especialmente contra vítimas de alto perfil.
O VLC Media Player é um dos melhores e, ao mesmo tempo, um dos aplicativos mais populares do gênero, podendo reproduzir quase todos os formatos multimídia existentes. Ele está disponível em várias plataformas e é oferecido sem nenhum custo, o que o torna obrigatório para um número substancial de usuários, independentemente do sistema operacional ou do dispositivo.
De acordo com o WinFuture, a vulnerabilidade existe em várias versões do VLC Media Player para plataformas de desktop. Portanto, os clientes Windows, Linux e UNIX do aplicativo foram afetados. No entanto, parece que o macOS não é afetado pelo bug.
