Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

Được phát triển và duy trì bởi Live Networks, thư viện phát đa phương tiện trực tuyến LIVE555 bao gồm tập hợp các thư viện C++ cho các công ty và nhà phát triển ứng dụng sử dụng luồng đa phương tiện dựa trên các giao thức mở chuẩn như RTP / RTCP, RTSP hoặc SIP.

Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC

Thư viện phát đa phương tiện trực tuyến LIVE555 hỗ trợ phát trực tuyến, nhận và xử lý các định dạng video khác nhau như MPEG, H.265, H.264, H.263+, VP8, DV, JPEG, và một số codec âm thanh như MPEG, AAC, AMR, AC-3 và Vorbis.

Theo Thehackernews, thư viện dễ bị tấn công được sử dụng trong hầu hết các phần mềm phát đa phương tiện nổi tiếng như VLC hay Mplayer, làm phơi nhiễm thông tin của hàng triệu người dùng thông qua các cuộc tấn công mạng (cyber attack).

Lỗ hổng thực thi mã được đánh dấu là CVE-2018-4013, và được phát hiện bởi nhà nghiên cứu Lilith Wyatt của Cisco Talos Intelligence Group. Cụ thể lỗ hổng nằm trong hàm phân tích cú pháp gói HTTP của Live555 RTSP, giúp phân tích tiêu đề HTTP cho đường hầm RTSP thông qua HTTP.

Theo cố vấn an ninh bảo mật của Cisco Talos: "Gói đặc biệt được tạo ra có thể gây ra lỗi tràn bộ nhớ đệm, dẫn đến việc thực thi mã". "Kẻ tấn công có thể gửi đến một gói để kích hoạt lỗ hổng này".

Để khai thác lỗ hổng, tất cả những gì kẻ tấn công cần làm là tạo và gửi một gói chứa nhiều chuỗi "Accept:' or 'x-sessioncookie" cho ứng dụng dễ bị tấn công để kích hoạt tràn bộ nhớ đệm trong hàm "lookForHeader", dẫn đến tình trạng thực thi mã tùy ý.

Nhóm nghiên cứu của Cisco Talos cũng đã xác nhận tính dễ tổn thương trong Live Networks LIVE555 Media Server trong phiên bản 0.92, và cho rằng lỗ hổng bảo mật cũng có thể xuất hiện trên các phiên bản trước đó.

Phía Cisco Talos cũng đã gửi báo cáo về lỗ hổng cho Live Networks vào hôm 10/10 và chính thức công khai lỗ hổng vào hôm 18/10, sau khi nhà cung cấp phát hành bản vá bảo mật cho người dùng hôm 17/10.

VLC hiện hỗ trợ trên thiết bị iOS và Android, các bạn tải ứng dụng theo đường dẫn dưới đây.

- Download VLC cho Android
- Download VLC cho iPhone

Giờ đây, Google Broad hỗ trợ phím thiết lập đơn giản hơn bằng cách nhấn vào biểu tượng G trong ứng dụng bàn phím GBoard trên thiết bị Android, iOS của mình. Từ đó, người dùng có thể nhanh chóng thiết lập mà không còn phải thao tác lằng nhằng như trước đây.

Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC và một số trình phát đa phương tiện khác, bao gồm cả MPlayer cùng một số thiết bị có khả năng phát trực tuyến khác. Cụ thể lỗ hổng này thực thi mã nghiêm trọng trong thư viện phát trực tuyến LIVE555.
VLC Media Player - Cách thay đổi ngôn ngữ cho ứng dụng
Những điểm mới trong VLC Media Player 2.1.0
Cài đặt VLC, setup VLC Media Player xem phim, tv trên PC
Sửa lỗi Video Playback trên VLC Media Player
Cách sử dụng VLC Media Player trên máy tính
Cách chụp ảnh Video trên VLC Media Player khi đang xem phim

ĐỌC NHIỀU