Los hackers pueden hackear tu PC aprovechando una vulnerabilidad crítica en el reproductor multimedia VLC

VideoLAN lanza una actualización de seguridad para el reproductor multimedia VLC vulnerable

Se han descubierto dos fallas de seguridad de alto riesgo en el reproductor multimedia VLC en las versiones de software 3.0.6 y anteriores que pueden permitir a los atacantes cargar archivos de video especialmente diseñados en el sistema vulnerable para ejecutar código arbitrario.

Para aquellos que no lo saben, el reproductor multimedia VLC es uno de los mejores y más populares reproductores multimedia con más de 3 mil millones de descargas.

Es un software gratuito, de código abierto y portátil, multiplataforma que se puede usar en Windows, macOS, Linux, así como en plataformas móviles Android e iOS. Cualquiera que sea el formato, el reproductor multimedia VLC puede reproducir casi cualquier tipo de formatos de audio y video que desees.

También lee- Cómo descargar videos de YouTube usando VLC

Symeon Paraschoudis, un investigador de Pen Test Partners, que identificó la primera vulnerabilidad de alta gravedad como CVE-2019-12874, es un defecto de doble liberación de MKV y reside en la función ” zlib_decompress_extra() (demux/mkv/utils.cpp) ” del reproductor VLC de VideoLAN.

Puede ser activado al analizar un archivo mkv malformado dentro del demuxer Matroska.

La segunda falla de alto riesgo, identificada como CVE-2019-5439 y descubierta por zhangyang de Hackerone, es una vulnerabilidad de desbordamiento de búfer que reside en ReadFrame (demux/avi/avi.c).

Permite a un usuario remoto crear algunos archivos avi o mkv especialmente diseñados que, cuando son cargados por el usuario objetivo, desencadenarán un desbordamiento de búfer en el heap en un sistema objetivo.

También lee- Mejores reproductores multimedia gratuitos para Windows 10

La ejecución exitosa de un archivo malformado en el sistema objetivo por parte de un tercero malicioso podría desencadenar un bloqueo de VLC o una ejecución de código arbitrario con los privilegios del usuario objetivo.

Un posible atacante puede explotar estas vulnerabilidades engañando al usuario para que abra explícitamente un archivo de video MKV o AVI malicioso especialmente diseñado.

También lee- Cómo descargar subtítulos en el reproductor multimedia VLC

VideoLAN, una organización sin fines de lucro que ha desarrollado VLC, ha publicado un aviso de seguridad: “El usuario debe abstenerse de abrir archivos de terceros no confiables o acceder a sitios remotos no confiables (o deshabilitar los complementos del navegador de VLC) hasta que se aplique el parche.”

Se ha recomendado encarecidamente a los usuarios de VLC que actualicen su software de reproductor multimedia a VLC 3.0.7 o versiones posteriores para evitar que los hackers exploten esta vulnerabilidad en sus sistemas.