14 jun. 2019

Vulnerabilidades críticas en VLC (Parchea!)

Dos vulnerabilidades severas en el popular reproductor multimedia de código abierto VLC han sido corregidas recientemente. Acorde a expertos en auditoría de seguridad web, se trata de una falla de desbordamiento de búfer y otra de escritura fuera de límites que han sido corregidas como parte de un programa de recompensa por vulnerabilidades financiado por la Comisión Europea.

En enero, la Unión Europea, con el proyecto FOSSA y en colaboración con HackerOne, financió 14 programas de recompensa por vulnerabilidades esperando reforzar la seguridad de los proyectos de código abierto empleados por las instituciones de los países miembros.
Los especialistas en auditoría de seguridad web comentan que aún se desconocen mayores detalles sobre estas fallas de seguridad y sus posibles formas de explotación; por ahora, sólo se ha revelado que la versión del reproductor de medios impactada son las anteriores a VLC 3.0.7, además del código vinculado a la versión 4.0 de VLC, próxima a ser lanzada.

Los expertos señalan que la vulnerabilidad de escritura fuera de límite no se encuentra en el código base de VLC, sino en la biblioteca faad2, una dependencia de VLC que ha dejado de recibir soporte. Por otra parte, la vulnerabilidad de desbordamiento de búfer se encuentra en el código de la versión 4.0 de la herramienta, y se relaciona con el módulo Reliable Internet Stream Transport (RIST) del reproductor; por ahora, sólo está disponible la versión beta de la versión 4.0 de VLC.

VideoLAN ha lanzado una nueva versión de su famoso reproductor multimedia. Se trata de VLC 3.0.7, una séptima versión de mantenimiento de la serie 3 del reproductor que llega con alguna novedad, pero cuyo lanzamiento tiene que ver más con la corrección de errores. Así lo vi en la versión para Windows, en donde lo primero que se aprecia en la ventana del aviso de que hay una nueva versión es un texto que habla de un total de 42 correcciones de seguridad.
Además de las fallas de seguridad críticas, fueron corregidas 21 vulnerabilidades de seguridad media y 20 de bajo riesgo. La mayoría de las vulnerabilidades de riesgo moderado son errores de lectura fuera de banda, desbordamientos de pila, problemas de seguridad de uso después de la liberación, entre otros. "En escenarios específicos estos errores podrían interrumpir el correcto funcionamiento de VLC", agregaron los expertos en auditoría de seguridad web.

La mayoría de los errores de seguridad fueron reportados por un usuario de HackerOne identificado como "ele7enxxh", que recibió alrededor de 13 mil dólares de recompensa.

En cuanto a otro tipo de funciones, VLC 3.0.7 llega con un soporte mejorado para reproducir archivos MP4 y una mejor gestión de los menús de Blu-ray. Hablando de soporte, esta nueva versión también ha mejorado el del Chromecast y el Blu-ray en general. El resto de cambios que incluye esta versión los podéis leer tras el corte.

Fuente: NoticiasSeguridad

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!