25 jul. 2019

Nueva vulnerabilidad crítica en VLC (Fe de Erratas)

Este nuevo bug identificado como CVE-2019-13615 recibió una calificación de CVSS 9.8 y luego 5.5 (corregido) sobre 10 en peligrosidad.

Fe de erratas

La vulnerabilidad en cuestión llevaba parcheada 16 meses y no formaba parte VLC, aunque un cúmulo de malas prácticas han permitido que la noticia llegue hasta los medio.

La vulnerabilidad de la disputa se encuentra en la biblioteca libebml, encargada de interpretar los metadatos XML de los vídeos Matroska (MKV) y no en el código de VLC. Dicha vulnerabilidad que permitía la ejecución remota de código (RCE) ya fue solucionada hace 16 meses, e incluida con la versión 3.0.3 de VLC hace más de un año, siendo la versión actual la 3.0.7.

Nos apresuramos a publicar noticias alarmistas por la vulnerabilidad, siendo el detonante la escrita en Gizmodo con título "You Might Want to Uninstall VLC. Immediately". Por supuesto, otros medios se hicieron eco de la noticia con titulares del mismo tipo.

Para explotar la vulnerabilidad los usuarios tienen que abrir ese archivo de vídeo especialmente creado para el ataque, por lo que la propia firma VideoLAN, en un aviso de seguridad, recomienda a sus usuarios abstenerse de abrir archivos de terceros no fiables o de acceder a sitios remotos que no sean de confianza hasta que instalen el nuevo parche.

A comienzos VLC lanzó una actualización, en carácter urgente, para resolver una brecha en el software que exponía a los usuarios a ataques remotos. Llegando a fin de julio, el conocido reproductor multimedia fue el protagonista de otra mala noticia para su reputación.
Tal como reportó el sitio alemán WinFuture en base a informes de CERT-Bund, una agencia especializada en seguridad informática de aquel país, VLC contenía una falla crítica que recibió una puntuación de 9.8 sobre 10 en peligrosidad.

La vulnerabilidad abría paso a la ejecución remota de código. Eso quiere decir que atacantes podían modificar o instalar softwares sin autorizaciones, además de acceder a información de los equipos a través del agujero en VLC.

"Un atacante anónimo y remoto puede explotar una vulnerabilidad para ejecutar código arbitrario, crear un estado de denegación de servicio, divulgar información o manipular archivos" señaló el informe.

Los desarrolladores de VLC ya lanzaron el parche que remedia la brecha, tal como informan en esta página de soporte. Para terminar os diremos que esta actualización que parchea los fallos de seguridad elevan al programa a VLC 3.0.7.1, algo que todos los usuarios deberían hacer lo antes posible para evitar males mayores desde el menú "Ayuda / Buscar actualizaciones".

Fuente: TN

2 comentarios:

  1. La realidad al respecto es que el puntaje CVSS fue corregido y es 5.5 (medio) en lugar del 9.8 inicial.
    El problema fue solucionado hace un año atrás y estaba en una librería de terceros: libEBML

    El vector CVSS v3.0 pasó de:

    AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H a

    AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

    Justificando así el valor actual 5.5 sobre 10, ya que por ejemplo la Confidencialidad y la Integridad no se ven impactadas por esta vulnerabilidad y el vector de ataque debe ser Local.

    La calificación inicial errada del puntaje CVSS originó varias críticas que se reflejaron en Twitter.

    Por ejemplo el usuario @dim0x69 dijo que este CVE-2019-13615 debería ser solo para libebml y no para VLC (https://twitter.com/dim0x69/status/1153992600996765698).

    Otro @nluedtke1, investigador en FireEye, comenta como los procesos de administración de vulnerabilidades que solo se enfocan en CVEs y CVSSs son equivocados (https://twitter.com/nluedtke1/status/1154175414664859649).

    ResponderEliminar
  2. fake !!! aca el "real" https://hispasec.us16.list-manage.com/track/click?u=dd62599a9195e52f2dca2ab9a&id=d20d8d93c9&e=470b6a5391

    hispasec : https://unaaldia.hispasec.com/2019/07/vlc-no-es-vulnerable-y-no-tienes-que-desinstalarlo.html

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!