VLC 2.2.3 tiene una vulnerabilidad grave que permite la ejecución de código

Share this…

Siempre que una aplicación consigue cierta fama, los piratas informáticos comienzan a buscar vulnerabilidades en ella para poder comprometer, de una forma u otra, los sistemas de los usuarios. Para evitar que esto ocurra, es necesario tener siempre las últimas versiones del software instaladas en el ordenador de manera que las vulnerabilidades conocidas queden cubiertas y los piratas informáticos no sean capaces de aprovecharse de ellas.

VLC es la aplicación más conocida y utilizada para reproducir todo tipo de contenido multimedia. Una de sus principales características es que gracias a ella no es necesario tener que buscar e instalar a mano todos los codecs necesarios para la reproducción. Esta aplicación es totalmente gratuita y de código abierto, además de multiplataforma, pudiendo encontrarla tanto para Windows como para Linux, Mac OS X e incluso Android y iOS, entre otros sistemas.

Recientemente, un grupo de investigadores de seguridad ha hecho pública una vulnerabilidad en esta herramienta, registrada como CVE-2016-5108, la cual puede llegar a generar ataques DoS donde el reproducir se cierre con un error e incluso permitir la ejecución de código al no limitar correctamente el espacio de memoria de modules/codec/adpcm.c.

El codec vulnerable es el responsable de procesar el contenido de QuickTime, por lo que para explotar la vulnerabilidad tan solo necesitaríamos un archivo multimedia que utilizara este codec modificado para incluirle el exploit. En la web de Seclists podemos encontrar un fichero .mp4 modificado para forzar el cierre del reproductor con un error.

Vulnerabilidad DoS VLC

Siempre que aparece una vulnerabilidad en cualquier programa os recomendamos actualizar lo antes posible a la nueva versión, sin embargo, a día de hoy no existe una actualización de la rama estable (aunque sí en beta y desarrollo) que solucione la vulnerabilidad, sin embargo, los responsables del desarrollo de VLC han asegurado que la próxima versión 2.2.4 del navegador y la esperada actualización 3.0 llegarán con esta vulnerabilidad corregida.

Mientras tanto, lo que debemos hacer es evitar descargar y ejecutar vídeos sospechosos en formato mp4 que puedan haber sido modificados por personas con malas intenciones. Si queremos asegurarnos de no caer víctimas de esta vulnerabilidad podemos descargar la última Nightly 3.0 que soluciona, en parte, la vulnerabilidad.

Qué novedades llegarán con VLC 3.0

La comunidad está trabajando muy en serio para hacer del próximo VLC 3.0 la mejor versión vista hasta la fecha. Además de la aplicación universal para Windows 10, esta próxima versión llegará con las siguientes características:

  • Soporte nativo para Chromecast (de momento solo para Android, aunque podría llegar al PC).
  • Mejoras en los protocolos de red y soporte para nuevos protocolos (HDS/HTTP2).
  • Optimizado para DirectX11.
  • Mejoras en la gestión de codecs y subtítulos.
  • Empieza a implementar Wayland para Linux.

A todas estas novedades, y a muchas otras menos importantes que no listamos, hay que sumarle la actualización de todas las librerías y todos los codecs del reproductor de manera que la experiencia por parte del usuario sea la mejor posible.

Fuente:https://www.redeszone.net/