Vulnerabilidades críticas encontradas en reproductor VLC, actualice de inmediato

Dos severas vulnerabilidades en el popular reproductor multimedia de código abierto VLC han sido corregidas recientemente. Acorde a expertos en auditoría de seguridad web, se trata de una falla de desbordamiento de búfer y otra de escritura fuera de límites que han sido corregidas como parte de un programa de recompensa por vulnerabilidades financiado por la Comisión Europea.

En enero, la Unión Europea, en colaboración con HackerOne, financió 14 programas de recompensa por vulnerabilidades esperando reforzar la seguridad de los proyectos de código abierto empleados por las instituciones de los países miembros.

Los especialistas en auditoría de seguridad web comentan que aún se desconocen mayores detalles sobre estas fallas de seguridad y sus posibles formas de explotación; por ahora, sólo se ha revelado que la versión del reproductor de medios impactada es VLC 3.0.7, además del código vinculado a la versión 4.0 de VLC, próxima a ser lanzada.

Los expertos señalan que la vulnerabilidad de escritura fuera de límite no se encuentra en el código base de VLC, sino en la biblioteca faad2, una dependencia de VLC que ha dejado de recibir soporte. Por otra parte, la vulnerabilidad de desbordamiento de búfer se encuentra en el código de la versión 4.0 de la herramienta, y se relaciona con el módulo Reliable Internet Stream Transport (RIST) del reproductor; por ahora, sólo está disponible la versión beta de la versión 4.0 de VLC.

 Además de las fallas de seguridad críticas, fueron  corregidas 21 vulnerabilidades de seguridad media y 20 de bajo riesgo. La mayoría de las vulnerabilidades de riesgo moderado son errores de lectura fuera de banda, desbordamientos de pila, problemas de seguridad de uso después de la liberación, entre otros. “En escenarios específicos estos errores podrían interrumpir el correcto funcionamiento de VLC”, agregaron los expertos en auditoría de seguridad web.

Especialistas del Instituto Internacional de Seguridad Cibernética (IICS) señalan que la mayoría de los errores de seguridad fueron reportados por un usuario de HackerOne identificado como “ele7enxxh”, que recibió alrededor de 13 mil dólares de recompensa.

Los expertos mencionan que las actualizaciones de VLC no contienen cambios significativos más allá de las correcciones de errores, aunque instan a los usuarios a instalarlas a la brevedad para mitigar cualquier riesgo de explotación.

(Visited 253,1 times)