Centrul Național de Răspuns la Incidente de Securitate Cibernetică (CERT-Bund) din Germania a emis un aviz de securitate, aducând în atenția utilizatorilor VLC media player o vulnerabilitate severă, care afectează acest software open source extrem de popular.

„Un atacator de la distanță, anonim, poate exploata vulnerabilitatea din VLC pentru a executa un cod arbitrar, a provoca o stare de blocare a serviciului (denial-of-service), a exfiltra informații sau a manipula fișiere", a declarat CERT-Bund.

Problema de corupere a memoriei ar fi localizată în cea mai recentă versiune a playerului, 3.0.7.1, dar poate fi prezentă și în versiunile anterioare. Aceasta afectează versiunile programului Windows, Linux și UNIX și a obținut un scor de 4 din 5 ca scară de gravitate, din partea agenției germane.

Între timp, conform NIST (National Vulnerability Database - NVD), bug-ul este „critic", având un scor de 9.8 din 10 pe scara Common Vulnerability Scoring System (CVSS). Aceasta se datorează unei stări de memorie supraîncărcată bazată pe memoria heap și se înscadrează a identificatorul CWE-119. Nu sunt necesare privilegii de sistem și nici interacțiunea cu utilizatorul pentru o exploatare cu succes a acestei vulnerabilități, detectată ca CVE-2019-13615.

Site-ul german Heise.de notează că exploatarea poate necesita un fișier special .mp4, deși nici CERT-Bund, nici NVD nu menționează acest lucru.

Cu toate acestea, nu a fost lansat încă un patch pentru această vulnerabilitate, iar momentul lansării acestuia este neclar. Potrivit bugtracker, platformă administrată de dezvoltatorul VLC, VideoLAN, rezolvarea acestei situații este de mare prioritate pentru aceștia. La momentul redactării acestui articol, patch-ul ar fi fost 60% gata.

Partea bună este că nu au fost înregistrate cazuri în care această lacună să fi fost exploatată activ. Însă, până ce patch-ul va fi lansat, probabil că ar fi mai bine ca acest player să nu fie folosit deloc.

VLC media player se mândrește cu mai mult de 3,1 miliarde de instalări în diferite sisteme de operare și versiuni diferite de lansare, iar acest număr nu echivalează nici pe departe numărul de sisteme afectate.