VLC Player: popular media player recebe 33 correções de erros de segurança

O popular media player recebe 33 correções de erros de segurança, duas das quais são classificadas como de alta severidade.

Mantenedores do popular media player VLC de código aberto corrigiram dois erros de alta gravidade na sexta-feira. As falhas eram uma vulnerabilidade de gravação fora do limite e um bug de estouro de buffer de pilha.

Desenvolvedores por trás do software, VideoLAN, disseram que os patches foram dois dos 33 consertos enviados ao media player e parte de um novo programa de recompensas de bugs financiado pela Comissão Européia.

“Esse grande número de problemas de segurança se deve ao patrocínio de um programa de recompensas de bugs financiado pela Comissão Européia, durante o programa FOSSA (Free and Open Source Software Audit)”, escreveu Jean-Baptiste Kempf, presidente da VideoLAN e desenvolvedor de software livre. em um post descrevendo os patches .

Em janeiro, a UE financiou 14 programas de recompensa de bugs na esperança de manter projetos de código aberto que as instituições da UE confiam em segurança. O programa é mantido pelo facilitador do programa de recompensas HackerOne.

Os detalhes são escassos sobre os dois bugs de alta gravidade e como eles podem ser explorados. Impactado é VLC 3.0.7 e o lançamento EU-FOSSA do player, junto com o código vinculado à próxima versão 4.0 do player.

“Acabamos de lançar o VLC 3.0.7, uma pequena atualização do ramo 3.0.x do VLC. Esta versão é um pouco especial, porque tem mais problemas de segurança do que qualquer outra versão do VLC ”, escreveu Kempf.

A vulnerabilidade de gravação fora do limite “não está na base de código do VLC, mas em uma dependência do VLC, a biblioteca do faad2, infelizmente, não mantida”, de acordo com Kempf. O FAAD2 é um decodificador de código aberto MPEG-4 e MPEG-2 AAC e está licenciado sob a GPLv2, de acordo com a Audiocoding.com.

A falha de estouro do buffer de pilha está vinculada ao VLC 4.0 e está relacionada ao módulo RIST (Reliable Internet Stream Transport) do player, previsto para ser lançado ainda este ano e disponível em versão beta agora .

Kempf escreveu que a atualização do VLC também incluiu a correção de 21 problemas médios de segurança e 20 problemas de baixa segurança.

“Os problemas de segurança média são principalmente leituras fora de banda, estouro de heap, problemas de segurança de referência nula e uso após a liberação. Esses problemas não devem ser exploráveis ​​com o ASLR, mas são importantes de qualquer maneira, porque eles podem travar o VLC ”, escreveu ele.

A maior parte das vulnerabilidades relatadas foi encontrada por um usuário do HackerOne, “ele7enxxh”, que ganhou $ 13.260 por relatar 13 bugs descobertos na plataforma do player VLC.

Kempf disse que, além das correções de bugs, a atualização 3.0.7 do VLC é pequena. O programa de recompensas remonta ao FOSSA, criado pela integrante do Parlamento Europeu, Julia Reda. Reda propôs o FOSSA com a esperança de proteger o software de código aberto, depois que a vulnerabilidade do Heartbleed foi descoberta na  biblioteca de criptografia de código aberto  OpenSSL em 2014.

Além do VLC, o programa de recompensas da UE busca vulnerabilidades em tais projetos de código aberto, como o Filezilla, o Apache Kafka, o Notepad ++ e o PuTTy. O programa foi lançado em 7 de janeiro de 2019.


MobOk: poderoso malware de desvio de dinheiro conhecido foi encontrado escondido em aplicativos de edição de fotos do Google Play Store

Um poderoso malware de desvio de dinheiro conhecido como MobOk foi encontrado escondido em aplicativos…

Navegador Tor atualizado para resolver falha crítica de controle do sistema

A atualização corrige falha crítica (CVE-2019-11707), uma vulnerabilidade de confusão de tipo no código do…

Downloads maliciosos do script Bash em servidores linux – Malware

Durante sua análise , os pesquisadores foram capazes de determinar que o criptominer foi baixado através de…

Google lança nova ferramenta criptográfica de código aberto que visa aumentar a privacidade

O Google está lançando uma nova ferramenta criptográfica de código aberto que visa aumentar a…

Universal Music e YouTube se uniram para remasterizar 1000 vídeos icônicos de música

O Universal Music Group e o YouTube se uniram para remasterizar vídeos icônicos de música…

Como os hackers esvaziaram os cofres da igreja com um simples esquema de phishing

Os ladrões cibernéticos não estão limitados por um código de ética. Eles procuram por alvos fracos…