Biblioteca de streaming LIVE555 afectada por vulnerabilidad de ejecución remota de código

Esta biblioteca es utilizada por los reproductores multimedia populares, junto con una serie de dispositivos integrados capaces de transmisión de medios

Investigadores de ciberseguridad y forense digital reportan el hallazgo de una vulnerabilidad de ejecución remota de código crítica en la biblioteca de streaming LIVE555, la falla ha sido identificada con la clave CVE-2018-4013.

Mantenida por la compañía Live Networks, la biblioteca funciona con los protocolos RTP / RTCP, RTSP o SIP, con la capacidad de procesar formatos de video y audio como MPEG, H.265, H.264, H.263 +, VP8, DV, JPEG, MPEG, AAC, AMR, AC-3 y Vorbis.

En este caso, según Lilith Wyatt, especialista en forense digital de Cisco Talos Intelligence Group, la vulnerabilidad radica en la funcionalidad de análisis de paquetes HTTP, que analiza los encabezados HTTP para el túnel RTSP sobre HTTP.

“Existe una vulnerabilidad de ejecución remota de código explotable en la funcionalidad de análisis de paquetes HTTP de la biblioteca del servidor RTSP LIVE555. Un paquete especialmente diseñado puede causar un desbordamiento de búfer basado en la pila, lo que resulta en la ejecución del código. Un atacante puede enviar un paquete para activar esta vulnerabilidad”, reporta Wyatt en una publicación en su blog.

Más adelante, Wyatt informó:

“Las bibliotecas multimedia LIVE555 son un conjunto liviano de bibliotecas de transmisión multimedia para protocolos RTSP/RTCP/RTSP/SIP, con soporte de código para servidores y clientes. Son utilizados por reproductores de medios populares como VLC y MPlayer, así como por una multitud de dispositivos integrados (principalmente cámaras)”.

Aunque no ha sido especificado si el popular reproductor VLC está utilizando el componente vulnerable (una biblioteca del lado del servidor), el equipo de VLC aclaró que su aplicación de reproductor de medios usa el medio de transmisión LIVE555 solo en el lado del cliente.

Para explotar esta vulnerabilidad, todo lo que un atacante debe hacer es crear y enviar un paquete que contenga múltiples cadenas ‘Aceptar:’ o ‘x-sessioncookie’ a la aplicación vulnerable, que activará un desbordamiento de búfer de pila en la función ‘lookForHeader’, lo que lleva a la ejecución de código arbitrario, informan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

Sin embargo, según un comunicado de prensa emitido por Ross Finlayson de Live Networks, Inc. Para los medios en general, la vulnerabilidad no afecta a VLC o MPlayer porque ambos reproductores multimedia solo usan LIVE555 para implementar un cliente RTSP.

“Esta vulnerabilidad no afecta a VLC o MPlayer, porque usan LIVE555 sólo para implementar un cliente RTSP”, dijo Finlayson. “VLC tiene un servidor RTSP incorporado, pero utiliza una implementación separada, no LIVE555”.