Hackers podem invadir seu PC explorando vulnerabilidade crítica no VLC media player

VideoLAN lança uma atualização de segurança para o VLC Media Player vulnerável

O VLC media player foi descoberto com duas falhas de segurança de alto risco nas versões de software 3.0.6 e anteriores que podem permitir que atacantes carreguem arquivos de vídeo especialmente elaborados no sistema vulnerável para executar código arbitrário.

Para quem não sabe, o VLC media player é um dos melhores e mais populares reprodutores de mídia, com mais de 3 bilhões de downloads.

É um software gratuito, de código aberto e portátil, multiplataforma, que pode ser usado em Windows, macOS, Linux, bem como nas plataformas móveis Android e iOS. Seja qual for o formato, o VLC media player pode reproduzir quase qualquer tipo de formato de áudio e vídeo que você desejar.

Também leia - Como baixar vídeos do YouTube usando o VLC

Symeon Paraschoudis, um pesquisador da Pen Test Partners, que identificou a primeira vulnerabilidade de alta gravidade como CVE-2019-12874, é uma falha de duplo free em MKV e reside na função “zlib_decompress_extra() (demux/mkv/utils.cpp)” do VideoLAN VLC player.

Ela pode ser acionada ao analisar um arquivo mkv malformado dentro do demuxer Matroska.

A segunda falha de alto risco, identificada como CVE-2019-5439 e descoberta por zhangyang do Hackerone, é uma vulnerabilidade de estouro de buffer que reside em ReadFrame (demux/avi/avi.c).

Ela permite que um usuário remoto crie alguns arquivos avi ou mkv especialmente elaborados que, quando carregados pelo usuário alvo, acionarão um estouro de buffer na pilha em um sistema alvo.

Também leia - Melhores reprodutores de mídia gratuitos para Windows 10

A execução bem-sucedida de um arquivo malformado no sistema alvo por um terceiro malicioso pode acionar um travamento do VLC ou uma execução de código arbitrário com os privilégios do usuário alvo.

Um potencial atacante pode explorar essas vulnerabilidades enganando o usuário para abrir explicitamente um arquivo de vídeo MKV ou AVI malicioso especialmente elaborado.

Também leia - Como baixar legendas no VLC Media Player

A VideoLAN, uma organização sem fins lucrativos que desenvolveu o VLC, publicou um aviso de segurança: “O usuário deve se abster de abrir arquivos de terceiros não confiáveis ou acessar sites remotos não confiáveis (ou desabilitar os plugins do navegador do VLC) até que o patch seja aplicado.”

Os usuários do VLC foram fortemente recomendados a atualizar seu software de reprodutor de mídia para o VLC 3.0.7 ou versões posteriores para evitar que hackers explorem essa vulnerabilidade em seus sistemas.