Dos severas vulnerabilidades en el popular reproductor multimedia de código abierto VLC han sido corregidas recientemente. Acorde a expertos en auditoría de seguridad web, se trata de una falla de desbordamiento de búfer y otra de escritura fuera de límites que han sido corregidas como parte de un programa de recompensa por vulnerabilidades financiado por la Comisión Europea.
En enero, la Unión Europea, en colaboración con HackerOne, financió 14 programas de recompensa por vulnerabilidades esperando reforzar la seguridad de los proyectos de código abierto empleados por las instituciones de los países miembros.
Los especialistas en auditoría de seguridad web comentan que aún se desconocen mayores detalles sobre estas fallas de seguridad y sus posibles formas de explotación; por ahora, sólo se ha revelado que la versión del reproductor de medios impactada es VLC 3.0.7, además del código vinculado a la versión 4.0 de VLC, próxima a ser lanzada.
Los expertos señalan que la vulnerabilidad de escritura fuera de límite no se encuentra en el código base de VLC, sino en la biblioteca faad2, una dependencia de VLC que ha dejado de recibir soporte. Por otra parte, la vulnerabilidad de desbordamiento de búfer se encuentra en el código de la versión 4.0 de la herramienta, y se relaciona con el módulo Reliable Internet Stream Transport (RIST) del reproductor; por ahora, sólo está disponible la versión beta de la versión 4.0 de VLC.
Además de las fallas de seguridad críticas, fueron corregidas 21 vulnerabilidades de seguridad media y 20 de bajo riesgo. La mayoría de las vulnerabilidades de riesgo moderado son errores de lectura fuera de banda, desbordamientos de pila, problemas de seguridad de uso después de la liberación, entre otros. “En escenarios específicos estos errores podrían interrumpir el correcto funcionamiento de VLC”, agregaron los expertos en auditoría de seguridad web.
Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) señalan que la mayoría de los errores de seguridad fueron reportados por un usuario de HackerOne identificado como “ele7enxxh”, que recibió alrededor de 13 mil dólares de recompensa.
Los expertos mencionan que las actualizaciones de VLC no contienen cambios significativos más allá de las correcciones de errores, aunque instan a los usuarios a instalarlas a la brevedad para mitigar cualquier riesgo de explotación.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
