Falha crítica no VLC Media Player permite que cibercriminoso possa executar código remotamente

Por Wellington Botelho

A agência alemã de cibersegurança (CERT-Bund) emitiu uma advertência de segurança para alertar os usuários do popular reprodutor de áudio e vídeo, VLC Media Player, sobre a existência de uma falha crítica nesse software.

A falha de corrupção de memória está na versão mais recente do VLC Media Player, 3.0.7.1, mas também pode estar presente nas versões anteriores, de acordo com informações da ESET. O problema também afeta as versões do VLC para Windows, Linux e UNIX e recebeu uma pontuação de 4 de 5 na escala de gravidade gerenciada pela agência alemã.

ensino médio computador estudante - Falha crítica

Enquanto isso, de acordo com o NIST National Vulnerability Database (NVD) do NIST,  também é considerado uma falha crítica. O bug é causado por uma condição de leitura excessiva do buffer de memória com base no heap e dentro do identificador CWE-119. Aparentemente, para a exploração da vulnerabilidade, que é monitorada sob o CVE-2019-13615, não é necessária a interação do usuário nem os privilégios do sistema.

O site alemão Heise.de esclarece que a exploração pode exigir o design especial de um arquivo mp4, embora nem a Cert-Bund nem o NVD tenham mencionado isso.

É de grande importância destacar que, até o momento, não foi criado um patch para essa falha e a data de seu lançamento também não está clara. De acordo com o registro de bugs realizados pelos desenvolvedores do VLC, VideoLan, o reparo dessa falha está dentro de suas prioridades. Atualmente, os desenvolvedores garantem que o patch já está 60% concluído.

Por outro lado, a boa notícia é que não houve casos relatados de que a vulnerabilidade tenha sido ativamente explorada. Por isso, até que o patch seja lançado, a única solução parece ser não usar o player até que o problema seja corrigido.

O VLC Media Player conta com mais de 3,1 bilhões de instalações das diferentes versões lançadas e em diferentes sistemas operacionais, número que não equivale a quantidade de sistemas afetados.

Com informações da ESET

LEIA TAMBÉM: 

Conteúdo Patrocinado
Loading...
Revisa el siguiente artículo