VLC Media Player нуждается в критических обновлениях

понедельник, 9 февраля 2015 г.


«От версии к версии VLC Media Player требует критических обновлений не только по тому, что брешь этого продукта может стать причиной неисправной работы плейера, но и по тому, что к персональному компьютеру, находящемуся на базе управления ОС Windows, злоумышленник может получить удалённый доступ.

Если исходить из технического плана уязвимости, то это может привести к повреждению памяти, что пагубно отражается на деятельности всех процессов, запускаемых в среде операционной системы и компрометированию операционной системы», - Чарли Осборн (Charlie Osborne), корреспондент западноевропейского цифрового издания ZDNet.

Обнаружение уязвимости VLC Media Player

«Независимый исследователь безопасности программного обеспечения, Вейсель Хатас (Veysel Hatas), время от времени размещает на страницах личного блога материалы на тему обнаруженных ошибок в кодах программного обеспечения. На этот раз Вейсель Хатас рассказывает о достаточно более значимой уязвимости в VLC Media Player, которая первоначально становится источником проблемы прав доступа к программному обеспечению VLC Media Player, а затем источником блокировки ПВД (Предотвращение выполнения данных)[1] операционной системы Windows, особенно это касается ОС Windows XP SP3.

Первая критическая уязвимость безопасности была обнаружена 24 ноября 2014 года, она была представлена недостатком, который заключался в том, что плейер не мог распознать и корректно прочесть медиа данные, представленные форматом FLV. Вторая уязвимость была обнаружена 26 января 2015 года и имела аналогичный характер действия, но в этом случае с ошибками воспринимается файл в формате M2V (MPEG2). В результате неудачной попытки прочесть этот формат должным образом в VLC Media Player блокируется ПВД операционной системы, злоумышленник может получить удалённый доступ к персональной машине (персональный компьютер, лэптоп) и выполнить произвольный код, что переполнит буфер и скомпрометирует ОС.

Это не все CVE-сы (Common Vulnerabilities and Exposures – Общие Уязвимости и Риски) VLC Media Player. Персональная машина может подвергнуться угрозе при попытках осуществить действия с файлами такого формата, как MP4 и OGG Vorbis. Также угрозу могут представлять кодировщик Schroedinger, потоковой фильтр decomp и программа проверки и поиска обновлений», - Чарли Осборн.

Опасность для пользователей ОС Windows XP SP3


«Согласно исследованиям Вейсель Хатаса, считается тяжёлым недостатком, если версия 2.1.5. VLC Media Player была установлена и запущена на персональной машине под управлением ОС Windows XP SP3 (на базе управления данной операционной системы также проводился тест ПК на уязвимость). Несмотря на то, что срок поддержки ОС Windows XP корпорацией Microsoft истёк, многие пользователи по всему миру осуществляют деятельность за персональными машинами под управлением данной операционной системы, не получая соответствующих обновлений безопасности. Их персональные машины находятся в зоне повышенного риска», - Чарли Осборн.

Обновление VLC Media Player

«Официальный критический патч для VLC Media Player общественности не был представлен», - Чарли Осборн.

О VLC Media Player

«Проект VideoLAN является некоммерческим сообществом разработчиков, которые создают программное обеспечение кросс-платформенного и мультимедийного характера с открытым исходным кодом (Open Source). VLC Media Player является одним из самых известных результатов проекта VideoLAN, его установка и работа поддерживается многими известными операционными системами, при этом основная особенность плейера заключается в том, что он поддерживает чтение большинства известных мультимедийных форматов, а также DVD, Audio CD, VCD и иные потоковые форматы. Разработчики программного обеспечения открывают поддержку современных форматов мультимедиа. Программное обеспечение переведено на многие языки мира и на его основе независимыми разработчиками проектируются сторонние виды программного обеспечения. Продукт VLC Media Player является одним из привлекательных и конкурентных, как среди программного обеспечения коммерческого, так и некоммерческого характера, особенно его популярность подчёркивается у аудитории пользователей мобильных устройств, находящихся под управлением ОС Android», - Чарли Осборн.

По материлам: ExploitDB; ZDNet.

Автор статьи (русскоязычная версия): Рон Милдарт.


[1]Предотвращение выполнения данных – функция защиты операционных систем (ОС Macintosh, ОС Windows, ОС Linux, ОС Android), антивирусного программного обеспечения от несанкционированного запуска приложений или ВПО, задача которых исполнение неопознанного или вредоносного кода.
 

Программное Обеспечение

Поиск по вэб-сайту