Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC và một số trình phát đa phương tiện khác, bao gồm cả MPlayer cùng một số thiết bị có khả năng phát trực tuyến khác. Cụ thể lỗ hổng này thực thi mã nghiêm trọng trong thư viện phát trực tuyến LIVE555.

Được phát triển và duy trì bởi Live Networks, thư viện phát đa phương tiện trực tuyến LIVE555 bao gồm tập hợp các thư viện C++ cho các công ty và nhà phát triển ứng dụng sử dụng luồng đa phương tiện dựa trên các giao thức mở chuẩn như RTP / RTCP, RTSP hoặc SIP.

phat hien lo hong nghiem trong trong thu vien phat truc tuyen tren vlc

Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

Thư viện phát đa phương tiện trực tuyến LIVE555 hỗ trợ phát trực tuyến, nhận và xử lý các định dạng video khác nhau như MPEG, H.265, H.264, H.263+, VP8, DV, JPEG, và một số codec âm thanh như MPEG, AAC, AMR, AC-3 và Vorbis.

Theo Thehackernews, thư viện dễ bị tấn công được sử dụng trong hầu hết các phần mềm phát đa phương tiện nổi tiếng như VLC hay Mplayer, làm phơi nhiễm thông tin của hàng triệu người dùng thông qua các cuộc tấn công mạng (cyber attack).

Lỗ hổng thực thi mã được đánh dấu là CVE-2018-4013, và được phát hiện bởi nhà nghiên cứu Lilith Wyatt của Cisco Talos Intelligence Group. Cụ thể lỗ hổng nằm trong hàm phân tích cú pháp gói HTTP của Live555 RTSP, giúp phân tích tiêu đề HTTP cho đường hầm RTSP thông qua HTTP.

Theo cố vấn an ninh bảo mật của Cisco Talos: "Gói đặc biệt được tạo ra có thể gây ra lỗi tràn bộ nhớ đệm, dẫn đến việc thực thi mã". "Kẻ tấn công có thể gửi đến một gói để kích hoạt lỗ hổng này".

Để khai thác lỗ hổng, tất cả những gì kẻ tấn công cần làm là tạo và gửi một gói chứa nhiều chuỗi "Accept:' or 'x-sessioncookie" cho ứng dụng dễ bị tấn công để kích hoạt tràn bộ nhớ đệm trong hàm "lookForHeader", dẫn đến tình trạng thực thi mã tùy ý.

Nhóm nghiên cứu của Cisco Talos cũng đã xác nhận tính dễ tổn thương trong Live Networks LIVE555 Media Server trong phiên bản 0.92, và cho rằng lỗ hổng bảo mật cũng có thể xuất hiện trên các phiên bản trước đó.

Phía Cisco Talos cũng đã gửi báo cáo về lỗ hổng cho Live Networks vào hôm 10/10 và chính thức công khai lỗ hổng vào hôm 18/10, sau khi nhà cung cấp phát hành bản vá bảo mật cho người dùng hôm 17/10.

VLC hiện hỗ trợ trên thiết bị iOS và Android, các bạn tải ứng dụng theo đường dẫn dưới đây.

- Download VLC cho Android
- Download VLC cho iPhone

https://thuthuat.taimienphi.vn/phat-hien-lo-hong-nghiem-trong-trong-thu-vien-phat-truc-tuyen-tren-vlc-39859n.aspx
Giờ đây, Google Broad hỗ trợ phím thiết lập đơn giản hơn bằng cách nhấn vào biểu tượng G trong ứng dụng bàn phím GBoard trên thiết bị Android, iOS của mình. Từ đó, người dùng có thể nhanh chóng thiết lập mà không còn phải thao tác lằng nhằng như trước đây.

Tác giả: Lê Thị Thuỷ     (4.0★- 3 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Cách sử dụng VLC Media Player trên máy tính
Cách chụp ảnh Video trên VLC Media Player khi đang xem phim
Cách sử dụng VLC để quay lại video Webcam
Hướng dẫn xem tivi trên VLC?
VLC Media Player - Hướng dẫn cách xem Podcast
Từ khoá liên quan:

Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

, LIVE555, lỗ hổng trên LIVE555,

SOFT LIÊN QUAN
  • VLC Mobile Remote

    Điều khiển VLC Media Player trên PC

    VLC Mobile Remote là ứng dụng cho phép người dùng điều khiển VLC Media Player trên máy tính để bàn hoặc máy tính xách tay từ smartphone, VLC Mobile Remote cũng cho phép bạn duyệt, phát các file nhạc trên PC cũng như video Youtube

Tin Mới

  • Điểm mới trong Nox App Player 6.5.0.3

    Phần mềm giả lập Android - NoxPlayer chắc hẳn không xa lạ gì đối với những người thường xuyên chơi game trên máy tính, mới đây phần mềm này đã được cập nhật lên phiên bản 6.5.0.3 với việc bổ sung rất nhiều tính năng mới, hứa hẹn sẽ mang lại cho người dùng trải nghiệm Android mượt mà hơn.

  • Điểm mới trong XviD Codec 1.3.6

    Phần mềm nén video XviD khá quen thuộc với khả năng nén với tỷ lệ 200:1 và cao hơn thế nữa, các file video Xvid có thể phát được trên nhiều thiết bị, nền tảng khác nhau. Phiên bản mới 1.3.6 của ứng dụng này hứa hẹn sẽ mang lại cho người dùng trải nghiệm tốt hơn và khả năng bảo mật cao hơn.

  • Microsoft thiết kế lại bộ ứng dụng di động Office, có thể đọc văn bản

    Microsoft mới đây đã tiết lộ thiết kế mới của bộ các ứng dụng Office di động gồm Outlook, OneDrive, Word, Excel, và PowerPoint; nhằm mục đích tăng năng suất làm việc của người dùng. Trong đó phải kể đến tính năng Read Aloud - cho phép người dùng nghe các đoạn văn bản trong Word và các ứng dụng Office khác.

  • Cách gỡ cài đặt TeamViewer trên máy tính

    Bài viết Cách gỡ cài đặt TeamViewer trên máy tính sẽ hướng dẫn bạn các cách gỡ cài đặt, loại bỏ TeamViewer khi bạn không còn nhu cầu sử dụng nữa. Mời các bạn theo dõi


 Mùa hè tới rồi muốn so sánh giá tìm điều hòa giá rẻ nhất thị trường hãy dùng TopGia để so sanh gia có nhiều mẫu dieu hoa để so sanh sanh, xem dieu hoagiá rẻ để so sánh giá