Gli hacker possono compromettere il tuo PC sfruttando una vulnerabilità critica nel lettore multimediale VLC

VideoLAN rilascia un aggiornamento di sicurezza per il lettore multimediale VLC vulnerabile

È stata scoperta una vulnerabilità di sicurezza ad alto rischio nel lettore multimediale VLC nelle versioni software 3.0.6 e precedenti, che può consentire agli attaccanti di caricare file video appositamente creati nel sistema vulnerabile per eseguire codice arbitrario.

Per chi non lo sapesse, il lettore multimediale VLC è uno dei migliori e più popolari lettori multimediali con oltre 3 miliardi di download.

È gratuito, open source e portatile, cross-platform, utilizzabile su Windows, macOS, Linux, così come su piattaforme mobili Android e iOS. Qualunque sia il formato, il lettore multimediale VLC può riprodurre quasi qualsiasi tipo di formato audio e video desiderato.

Leggi anche - Come scaricare video da YouTube usando VLC

Symeon Paraschoudis, un ricercatore di Pen Test Partners, che ha identificato la prima vulnerabilità ad alta gravità come CVE-2019-12874, è un difetto di doppia liberazione MKV e risiede nella funzione ” zlib_decompress_extra() (demux/mkv/utils.cpp) ” del lettore VLC di VideoLAN.

Può essere attivato durante l’analisi di un file mkv malformato all’interno del demuxer Matroska.

Il secondo difetto ad alto rischio, identificato come CVE-2019-5439 e scoperto da zhangyang di Hackerone, è una vulnerabilità di overflow del buffer che risiede in ReadFrame (demux/avi/avi.c).

Consente a un utente remoto di creare alcuni file avi o mkv appositamente creati che, quando caricati dall’utente target, attiveranno un overflow del buffer heap in un sistema mirato.

Leggi anche - I migliori lettori multimediali gratuiti per Windows 10

L’esecuzione riuscita di un file malformato nel sistema mirato da parte di una terza parte malevola potrebbe attivare un crash di VLC o un’esecuzione di codice arbitrario con i privilegi dell’utente target.

Un potenziale attaccante può sfruttare queste vulnerabilità ingannando l’utente a aprire esplicitamente un file video MKV o AVI malevolo appositamente creato.

Leggi anche - Come scaricare sottotitoli nel lettore multimediale VLC

VideoLAN, un’organizzazione non profit che ha sviluppato VLC, ha pubblicato un avviso di sicurezza: “L’utente dovrebbe astenersi dall’aprire file da terze parti non affidabili o dall’accedere a siti remoti non affidabili (o disabilitare i plugin del browser VLC) fino a quando la patch non è applicata.”

Agli utenti di VLC è stato fortemente raccomandato di aggiornare il proprio software del lettore multimediale a VLC 3.0.7 o versioni successive per evitare che gli hacker sfruttino questa vulnerabilità sui loro sistemi.