mise à jour du lecteur multimédia VLC a été publiée qui corrige un crash soudain du lecteur et l'exécution de code à distance.
La mise à jour VLC Media Player 3.0.12 a été publiée il n'y a pas si longtemps. La chose importante à propos de la mise à jour est qu'elle améliorera l'expérience utilisateur des propriétaires de Mac. Mais cela a déjà été évoqué . Cependant, il y a déjà un autre point important concernant la sécurité de l'information. La mise à jour corrige les problèmes de sécurité critiques.
Quel est le problème avec le lecteur
Les vulnérabilités ont été découvertes par Zhen Zhou du groupe NSFOCUS. Ils ont permis à un attaquant de lancer l'exécution de code à distance sur d'autres ordinateurs.
Il s'agit d' un débordement de tampon . La cause du problème est un débordement de tampon, conséquence de l'écriture de données en dehors de la zone mémoire allouée. Ce problème est dû à une mauvaise gestion des données d'entrée et de la mémoire. Par conséquent, les données situées avant ou après le tampon peuvent être endommagées.
Problèmes principaux
Auparavant, les experts découvraient plusieurs problèmes de sécurité à la fois.
Première. Un attaquant peut télécharger et exécuter du code arbitraire pour le compte du programme et avec les droits du compte sous lequel il est lancé.
Seconde. Cela provoque le crash du lecteur multimédia, entraînant un déni de service.
Les deux bogues ont été corrigés selon le bulletin de sécurité du joueur.
Troisième.Le bulletin mentionne également une déréférence incorrecte des pointeurs - référence de pointeur invalide. Avec un tel bogue, le programme envoie une requête le long d'un chemin erroné vers un emplacement mémoire spécifique. Une demande incorrecte entraîne un échec. Dans la plupart des cas, par conséquent, le programme se bloque.
Pour exploiter les vulnérabilités, un attaquant doit exécuter un fichier spécial ou se connecter à un flux spécialement formé. Après cela, deux scénarios se sont développés: le lecteur VLC s'éteint soudainement ou les escrocs exécutent à distance du code arbitraire.
Les développeurs disent n'avoir trouvé aucune tentative d'exploiter les vulnérabilités trouvées. Mais ils recommandent d'installer VLC Media Player version 3.0.12 - pour Windows, macOS ou Linux .
À propos, les problèmes se trouvent souvent dans le lecteur VLC. Mais le plus souvent, il est possible de les éliminer avant que les cybercriminels ne commencent à les utiliser.
Un peu sur VLC
VLC est gratuit et l'un des lecteurs vidéo open source les plus populaires. Le lecteur multimédia prend en charge une grande variété de formats. VLC lit de nombreux fichiers et flux multimédias sur une grande variété de protocoles.
Le player est développé par l'équipe du projet VideoLan. Ce sont pour la plupart des volontaires qui « croient au pouvoir de l'open source».
Le projet VideoLAN a débuté en tant qu'initiative étudiante en 1996 en France. Désormais, des développeurs de 40 pays participent au projet.
