Inicio » Vulnerabilidades críticas encontradas en VLC Player
CIBERSEGURIDAD

Vulnerabilidades críticas encontradas en VLC Player

Vulnerabilidades-VLC-Player

Recientemente se han corregido dos vulnerabilidades graves en el popular reproductor de código abierto VLC . Según los expertos en auditoría de seguridad web , uno es un defecto de desbordamiento del búfer y el otro es una vulnerabilidad de escritura fuera de enlace que se había corregido como parte de un programa de recompensas de errores financiado por la Comisión Europea.

En enero, la Unión Europea , en colaboración con HackerOne, financió 14 programas de recompensas de vulnerabilidad, con la esperanza de reforzar la seguridad de los proyectos de código abierto utilizados por las instituciones de los países miembros.

Los especialistas en auditoría de seguridad web dicen que aún se desconocen más detalles sobre estas fallas de seguridad y sus posibles formas de explotación; Hasta ahora, solo se ha revelado que la versión del reproductor multimedia afectado es VLC 3.0.7, además del código vinculado a la versión 4.0 de VLC, que se publicará próximamente.

Los expertos señalan que la vulnerabilidad de escritura fuera de enlace no está en el código base de VLC, sino en la biblioteca Faad2, una dependencia de VLC que ha dejado de recibir soporte. Por otro lado, la vulnerabilidad de desbordamiento del búfer se encuentra en el código de la versión 4.0 de la herramienta y se relaciona con el módulo de transporte de flujo de Internet confiable (RIST) del jugador; por ahora, solo está disponible la versión beta de VLC versión 4.0.

LEA TAMBIEN  Vulnerabilidad en Cámaras Bosch reportada por VDOO

Además de fallas de seguridad críticas, se corrigieron 21 vulnerabilidades de seguridad de riesgo medio y 20 de bajo riesgo. La mayoría de las vulnerabilidades de riesgo moderado son errores de lectura fuera de banda, desbordamientos de pila, problemas de seguridad de uso posteriores al lanzamiento y más. “En situaciones específicas, estos errores podrían interrumpir el correcto funcionamiento de VLC”, agregaron los expertos en auditorías de seguridad web.

Los especialistas del Instituto Internacional de Seguridad Cibernética (IICS) señalan que la mayoría de los errores de seguridad fueron reportados por un usuario de HackerOne identificado como “Ele7enxxh”, que recibió una recompensa de aproximadamente $ 13k USD.

Los expertos mencionan que las actualizaciones de VLC no contienen cambios significativos más allá de las correcciones de errores, aunque instan a los usuarios a que las instalen lo antes posible para mitigar cualquier riesgo de explotación.

X