A agência alemã de cibersegurança (CERT-Bund) emitiu um alerta de segurança para os utilizadores do popular reprodutor de áudio e vídeo, VLC Media Player, sobre a existência de uma vulnerabilidade crítica que afetou o software open source.
“Um agente mal intencionado pode, anonimamente, e de forma remota explorar a vulnerabilidade no VLC para executar código arbitrário, causar uma condição de negação de serviço, exfiltrar informações ou manipular ficheiros”, refere o CERT-Bund, que por sua vez foi quem descobriu o bug.
A falha de corrupção de memória reside na versão mais recente do VLC, 3.0.7.1, mas também pode estar presente nas versões anteriores. O problema também afeta as versões do VLC para Windows, Linux e Unix, e obteve uma pontuação de 4 em 5 na escala de gravidade gerida pela agência alemã.
Enquanto isso, e de acordo com o NIST National Vulnerability Database (NVD), a falha é crítica, sendo classificada com uma pontuação de 9,8 em 10 na escala usada pelo Common Vulnerability Scoring System (CVSS). O bug é causado por uma condição de leitura excessiva do buffer de memória com base no heap e dentro do identificador CWE-119. Aparentemente, não são necessários privilégios de sistema nem qualquer interação do utilizador para que a exploração da vulnerabilidade seja bem sucedida, sendo a mesma monitorizada sob o CVE-2019-13615.
O site alemão Heise.de refere que a exploração pode exigir um ficheiro .mp4 criado especialmente, apesar de nem o CERT-Bund nem o NVD façam menção disso.
É de grande importância destacar que, até ao momento, não foi criado um patch para esta falha e a data do seu lançamento também não está clara. De acordo com o registo de bugs realizados pelos desenvolvedores do VLC, o VideoLAN, a correção do mesmo faz parte das suas prioridades. Atualmente, os desenvolvedores garantem que o patch já está 60% concluído.
O lado positivo é que não existem, por ora, indicação de que as falhas de segurança tenham sido exploradas ativamente. No entanto, e até que o patch seja enviado, talvez a única solução alternativa seja evitar o uso do VLC.
O VLC Media Player possui mais de 3,1 mil milhões de instalações em vários sistemas operativos e em diferentes versões, número que não equivale à quantidade de sistemas afetados.
