El día de ayer se descubrió una vulnerabilidad crítica sobre la popular aplicación de multimedia llamada VLC, la cual podría permitir ejecución de código remoto.
Pero un comunicado dado por VideoLan, indica que su producto no es vulnerable, y que la falla corresponde a una librería de terceros la cual fue reparada hace más de 16 meses.
About the "security issue" on #VLC : VLC is not vulnerable.— VideoLAN (@videolan) 24 de julio de 2019
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.
Thread:
Hace unos minutos, la puntuación de 9.8 (crítica) que fue dada por CVSS se modificó a 5.5 (gravedad media) y se agregó una nota que aclara que “la víctima debe interactuar voluntariamente con el mecanismo de ataque”.
La Vulnerabilidad
El Equipo de Respuesta ante Emergencias Informáticas de Alemania (CERT-Bund) emitió una advertencia de seguridad para alertar a los usuarios del popular reproductor de audio y video, VLC Media Player, acerca de la existencia de una vulnerabilidad crítica en dicho software.
“Un atacante anónimo puede, de manera remota, explotar la vulnerabilidad en VLC para ejecutar código arbitrario, causar una denegación de servicio, exfiltrar información o manipular archivos”, aseguraron desde el CERT-Bund, quienes a su vez fueron los que descubrieron el bug.
El fallo de corrupción de memoria está en la última versión del reproductor, 3.0.7.1, pero también pueden estar presente en versiones previas. Asimismo, afecta a las versiones de VLC tanto para Windows, Linux y UNIX y recibió una puntuación de 4 sobre 5 en la escala de severidad que maneja la agencia alemana.
Según lo que se habia informado el día de ayer, la Base de Datos Nacional de Vulnerabilidades de los Estados Unidos (NVD) del NIST, indicó que el fallo es crítico, siendo categorizado con un puntaje de 9.8 sobre 10 en la escala que utiliza el Sistema de Puntuación de Vulnerabilidad Común (CVSS). El bug es causado por una condición de sobre lectura del búfer de memoria basado en el montículo (heap) y cae dentro del identificador CWE-119. Aparentemente, para la exitosa explotación de la vulnerabilidad, que es monitoreada bajo el CVE-2019-13615, no necesita interacción por parte del usuario y tampoco privilegios del sistema.
Hay que esperar los reportes para realmente determinar la criticidad de la vulnerabilidad. Como siempre recomendamos no aperturar contenido no seguro, y mantener actualizado siempre su software para no ser victimas de ataque.
%2014.04.55.png)
