Новая дыра в VLC-плеере критически опасна для всех!!! Постойте, или ее нет?

Опубликовано at 14:34
524 0

Исследователи Cisco Talos рассказали об опасной RCE-уязвимости CVE-2018-4013 в стриминговой библиотеке live555 компании Live Networks. Ее используют в своем составе многие популярные медиаплееры.

LIVE555 Streaming Media – это набор C++ библиотек с открытым исходным кодом, которые разработаны для потоковой передачи мультимедийных данных и работы с протоколами RTP/RTCP, RTSP или SIP.

Аналитики Cisco Talos в довольно спокойном тоне описали, что проблема связана с парсингом HTTP-пакетов и всего один такой специально созданный пакет теоретически может спровоцировать переполнение буфера стека и привести к исполнению произвольного кода. Далее, опять же теоретически такая «дыра» позволяет удалённо взломать компьютер и скачать все данные (если компьютер подключен к сети).

В своем отчете специалисты Cisco, однако, допустили курьезную ошибку: они написали, что live555 поддерживает серверную и клиентскую стороны, а также используется множеством популярных медиаплееров, включая VLC и MPlayer. Уязвимость при этом проявляется лишь на серверной стороне, а упомянутые медиаплееры используют только клиентскую часть live555.

В итоге в ряде СМИ успели пройти панические сообщения об опасной уязвимости и угрозе похищения данных, которой подвержены все владельцы VLC-плеера (одного из самых популярных плееров в мире), хотя de-facto это не так. Теперь разработчики VLC подчеркивают в Twitter, что эксперты Cisco не писали прямо об уязвимости их решения, и объясняют, что брешь в live555 для их медиаплеера неопасна.

Год назад специалисты по информационной безопасности из компании Check Point обнаружили уязвимость, затрагивающую порядка 200 млн пользователей популярных медиаплееров. При помощи вредоносного файла с субтитрами злоумышленники могут выполнить на компьютере жертвы произвольный код и полностью перехватить контроль над машиной.

Эксперты предупреждают, что уязвимость присутствует в большинстве современных медиаплееров, включая VLC. Правда, злоумышленник должен обманом заставить жертву запустить вредоносный файл. Но это уже совсем другая история…

Подписываемся, следим @CyberAgency

Related Post

“Паша Дуров решил стать новым Мавроди”: РБК опубликовал странное письмо о “настоящих причинах” блокировки Telegram

Опубликовано - 20.04.2018 0
Журналисты РБК заявили, что настоящей причиной блокировки Telegram были планы Павла Дурова создать новую криптовалютную систему. Издание цитирует письмо, приписываемое…

Зловещий оскал джакузи: ИБ-специалисты продолжают развлекаться под Новый Год

Опубликовано - 26.12.2018 0
После взлома новогодней гирлянды какой следующий логический шаг для специалистов по кибербезопасности, которые уже, видимо, открыли шампанское? Правильно, взломать умную…

Троян пишет отзывы от имени пользователя через режим ввода для инвалидов

Опубликовано - 13.01.2020 0
«Лаборатория Касперского» рассказала про новый Android-троян Shopper, который использует уязвимости в AccessibilityService. Троян эксплуатирует службу поддержки для людей с ограниченными…

Добавить комментарий