[Actualizado] La última vulnerabilidad en VLC no era tal, y ya ha sido corregida su clasificación

[Actualizado] La última vulnerabilidad en VLC no era tal, y ya ha sido corregida su clasificación
6 comentarios Facebook Twitter Flipboard E-mail

Actualización 26/07/2019: tras las aclaraciones hechas por el equipo de VideoLAN, la vulnerabilidad CVE-2019-13615 inicialmente clasificada como un fallo crítico en VLC 3.0.7, ha sido actualizada para especificar que se trata de un fallo en libebml, la librería usada en el modulo MKV de VideoLAN antes de la versión 3.0.3 y su puntuación ha sido rebajada a severidad media.

Actualización: aunque la vulnerabilidad ha sido publicada en NIST como de severidad crítica, y MITRE publicó la CVE, los desarrolladores de VLC insisten desde su cuenta de Twitter que el reproductor no es vulnerable y que se trata de un problema en una librería llamada 'libebml' que fue arreglada hace más de 16 meses. También afirman que no es primera vez que publican vulnerabilidades de VLC sin contactar con ellos antes. Ni MITRE ni NIST han corregido ni eliminado la vulnerabilidad de sus listas. Actualizaremos esta noticia nuevamente si ambas instituciones dan la razón a VideoLAN".

Un nuevo fallo de seguridad crítico afecta al popular reproductor multimedia VLC, con una puntuación alta, la vulnerabilidad ha sido categorizada como crítica, y de momento no hay parches disponibles.

Esto quiere decir que si actualmente utilizas VLC Media Player, tu equipo es vulnerable a un ataque de ejecución remota de código, lo que podría permitir que un tercero malintencionado tenga acceso a tus archivos, instale, modifique o ejecute software en tu ordenador sin autorización.

Cuidado con los archivos MKV que reproduces

A finales de junio les contábamos sobre dos vulnerabilidades críticas en VLC que acababan de ser corregidas por el equipo de VideoLAN con la versión 3.0.7 de VLC. Aquellos fallos podían explotarse a través de archivos AVI o MKV maliciosos.

Para que este nuevo fallo sea explotado también necesita que se ejecute el reproductor utilizando un archivo MKV, puesto que se trata de un error de sobrecarga de buffer en el demuxer de MKV.

Vlc

En el bugtracker de VLC, uno de los desarrolladores de VideoLAN, Jean-Baptiste Kempf, apunta que el bug no es reproducible en Windows y no cuelga el sistema, pero invitan a quien lo reporta a contactar a su equipo de seguridad para discutir el fallo.

Este problema afecta justamente a la versión 3.0.7 de VLC, por lo que en este instante, la única forma de protegerte del todo es desinstalar VLC (o no usarlo con archivos MKV) hasta que el fallo sea solucionado, algo para lo que todavía no se tiene un tiempo estimado.

La buena noticia es, que hasta ahora no se han detectado casos de esta vulnerabilidad siendo explotada activamente. Si no has actualizado a VLC 3.0.7 y tienes una versión más antigua, entonces estás expuesto a dos vulnerabilidades.

Vía | Winfuture

Comentarios cerrados
Inicio