Conecta con nosotros

Noticias

Vulnerabilidad crítica en VLC y Media Player (Actualizada)

Publicado el

vulnerabilidad crítica en VLC

vulnerabilidad crítica en VLC

Un investigador de seguridad TI de Cisco Talos Intelligence Group descubrió una vulnerabilidad crítica de ejecución remota de código en la biblioteca de transmisión de medios LIVE555, utilizada por reproductores de medios populares como VLC y MPlayer.

Mantenida por la firma Live Networks, la biblioteca funciona con los protocolos RTP / RTCP, RTSP or SIP y tiene la capacidad de procesar formatos de vídeo y audio como MPEG, H.265, H.264, H.263 +, VP8, DV, JPEG, MPEG, AAC, AMR, AC-3 y Vorbis.

Esta vulnerabilidad crítica ha sido etiquetada como CVE-2018-4013 y ha dejado a millones de usuarios de reproductores de medios vulnerables a los ataques cibernéticos, según los investigadores de Cisco Talos. También a una gran cantidad de dispositivos integrados (principalmente cámaras) que la utilizan.

LIVE555 Streaming Media, un conjunto de bibliotecas de código abierto de C ++ desarrolladas por Live Networks Inc. para transmisión multimedia. Las bibliotecas son compatibles con estándares abiertos como RTP / RTCP y RTSP y la vulnerabilidad se produce en la funcionalidad de análisis de paquetes HTTP de la biblioteca del servidor RTSP.

Un atacante podría crear un paquete especialmente diseñado para activar esta vulnerabilidad, causar un desbordamiento de búfer y ejecutar código malicioso.

La vulnerabilidad se ha confirmado en LIVE555 Media Server, versión 0.92, pero también puede estar presente en versiones anteriores del producto. Ya se ha publicado una actualización para abordar el fallo, por lo que si estás utilizando reproductores que la emplean como VLC o Media Player, se recomienda actualizar a la última versión del software.

ACTUALIZACIÓN – Los clientes de VLC o Media Player no están afectados

Live Networks ha matizado la información inicial proporcionada por los investigadores de Cisco Talos Intelligence Group, aclarando que la vulnerabilidad (ya corregida) afectó al servidor RTSP LIVE555, pero no a los clientes que usan la librería como VLC y MPLayer. Falsa alarma. No es necesario actualizar los reproductores.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

Lo más leído