Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC và một số trình phát đa phương tiện khác, bao gồm cả MPlayer cùng một số thiết bị có khả năng phát trực tuyến khác. Cụ thể lỗ hổng này thực thi mã nghiêm trọng trong thư viện phát trực tuyến LIVE555.

Được phát triển và duy trì bởi Live Networks, thư viện phát đa phương tiện trực tuyến LIVE555 bao gồm tập hợp các thư viện C++ cho các công ty và nhà phát triển ứng dụng sử dụng luồng đa phương tiện dựa trên các giao thức mở chuẩn như RTP / RTCP, RTSP hoặc SIP.

phat hien lo hong nghiem trong trong thu vien phat truc tuyen tren vlc

Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

Thư viện phát đa phương tiện trực tuyến LIVE555 hỗ trợ phát trực tuyến, nhận và xử lý các định dạng video khác nhau như MPEG, H.265, H.264, H.263+, VP8, DV, JPEG, và một số codec âm thanh như MPEG, AAC, AMR, AC-3 và Vorbis.

Theo Thehackernews, thư viện dễ bị tấn công được sử dụng trong hầu hết các phần mềm phát đa phương tiện nổi tiếng như VLC hay Mplayer, làm phơi nhiễm thông tin của hàng triệu người dùng thông qua các cuộc tấn công mạng (cyber attack).

Lỗ hổng thực thi mã được đánh dấu là CVE-2018-4013, và được phát hiện bởi nhà nghiên cứu Lilith Wyatt của Cisco Talos Intelligence Group. Cụ thể lỗ hổng nằm trong hàm phân tích cú pháp gói HTTP của Live555 RTSP, giúp phân tích tiêu đề HTTP cho đường hầm RTSP thông qua HTTP.

Theo cố vấn an ninh bảo mật của Cisco Talos: "Gói đặc biệt được tạo ra có thể gây ra lỗi tràn bộ nhớ đệm, dẫn đến việc thực thi mã". "Kẻ tấn công có thể gửi đến một gói để kích hoạt lỗ hổng này".

Để khai thác lỗ hổng, tất cả những gì kẻ tấn công cần làm là tạo và gửi một gói chứa nhiều chuỗi "Accept:' or 'x-sessioncookie" cho ứng dụng dễ bị tấn công để kích hoạt tràn bộ nhớ đệm trong hàm "lookForHeader", dẫn đến tình trạng thực thi mã tùy ý.

Nhóm nghiên cứu của Cisco Talos cũng đã xác nhận tính dễ tổn thương trong Live Networks LIVE555 Media Server trong phiên bản 0.92, và cho rằng lỗ hổng bảo mật cũng có thể xuất hiện trên các phiên bản trước đó.

Phía Cisco Talos cũng đã gửi báo cáo về lỗ hổng cho Live Networks vào hôm 10/10 và chính thức công khai lỗ hổng vào hôm 18/10, sau khi nhà cung cấp phát hành bản vá bảo mật cho người dùng hôm 17/10.

VLC hiện hỗ trợ trên thiết bị iOS và Android, các bạn tải ứng dụng theo đường dẫn dưới đây.

- Download VLC cho Android
- Download VLC cho iPhone

http://thuthuat.taimienphi.vn/phat-hien-lo-hong-nghiem-trong-trong-thu-vien-phat-truc-tuyen-tren-vlc-39859n.aspx
Giờ đây, Google Broad hỗ trợ phím thiết lập đơn giản hơn bằng cách nhấn vào biểu tượng G trong ứng dụng bàn phím GBoard trên thiết bị Android, iOS của mình. Từ đó, người dùng có thể nhanh chóng thiết lập mà không còn phải thao tác lằng nhằng như trước đây.

Tác giả: Nguyễn Ngọc Thuỷ     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách sử dụng VLC để quay lại video Webcam
Hướng dẫn xem tivi trên VLC?
VLC Media Player - Hướng dẫn cách xem Podcast
Sửa lỗi font phụ đề sub tiếng việt trên VLC Media Player
Cách cài VLC trên Ubuntu
Từ khoá liên quan:

Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

, LIVE555, lỗ hổng trên LIVE555,
SOFT LIÊN QUAN
  • VLC Media Player Portable

    Nghe nhạc, xem video chất lượng cao

    VLC Media Player Portable là một chương trình không cần cài đặt mà vẫn có thể sử dụng được, nó là một trình nghe nhạc, xem video trên máy tính, người dùng có thể sử dụng chương trình này để chạy một số định dạng audio và ...

Tin Mới


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá