Vulnerabilidad en librería Live555 deja expuesto a VLC, MPlayer y otros reproductores multimedia
Hace algunas horas, el departamento de seguridad de Cisco, Talos, hacía eco de una vulnerabilidad bastante grave en LIVE555 Streaming Media, un conjunto de librerías de código abierto, escritas en C++, utilizadas por muchos reproductores multimedia para las funciones de streaming. Estas librerías de código abierto forman los estándares RTP, RTCP y RTSP utilizados para transmitir a través de la red por los puertos TCP 80, 8000 o 8080 contenido en formatos H.264, H.265, MPEG, VP8 y DV de vídeo y MPEG, AAC, AMR, AC3 y Vorbis de audio.
Este fallo de seguridad ha sido registrado como CVE-2018-4013 y permite a un atacante modificar los paquetes del túnel RTP para causar un desbordamiento de búfer y llegar hasta a ejecutar código remoto tanto en el servidor como en el cliente vulnerable.
Cómo protegernos de este grave fallo de seguridad
Esta vulnerabilidad se encuentra presente en la versión 0.92 de Live Networks LIVE555 Media Server, aunque los propios investigadores aseguran que también podría estarlo en las versiones anteriores de este conjunto de librerías.El fallo de seguridad fue solucionado ya en el conjunto de librerías el pasado 17 de octubre, y, una vez corregido, esta vulnerabilidad se ha dado a conocer.
Aunque este conjunto de librerías ya ha sido actualizado, para protegernos es necesario asegurarnos de actualizar tanto las aplicaciones servidor como cliente que utilicemos para reproducir contenido multimedia a través de RTP.
También debemos destacar que muchas cámaras de vigilancia y webcams que utilizan el protocolo RTP para transmitir contenido a través de la red también están afectadas por este fallo, y por lo tanto es importante asegurarnos de actualizar su firmware para poder estar protegidos de estos fallos de seguridad.
Actualización: Live Networks ha matizado la información inicial proporcionada por los investigadores de Cisco Talos Intelligence Group, aclarando que la vulnerabilidad (ya corregida) afectó al servidor RTSP LIVE555, pero no a los clientes que usan la librería como VLC y MPLayer. Falsa alarma. No es necesario actualizar los reproductores.
Fuente: Talos
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!