A VideoLAN corrigiu uma vulnerabilidade no VLC, seu popular aplicativo de reprodução multimídia. O programa estava suscetível a ataques por meio de arquivos AVI ou MKV maliciosos. Se um conteúdo programado para explorar essa brecha fosse aberto pelo usuário, o atacante poderia executar códigos de forma remota no computador da vítima.
De acordo com a desenvolvedora, as versões do VLC da 3.0 até a 3.0.6 foram afetadas. O usuário precisa atualizar imediatamente para o VLC 3.0.7 a fim de se proteger da ameaça. Esse update pode ser instalado via site oficial do VLC ou pela própria aplicação.
Atualmente, duas falhas afetam o programa. Inicialmente, foi descoberto um bug de sobrecarga de memória que pode causar uma falha e se desenvolver até uma exploração de execução remota. Depois, outra brecha foi encontrada na análise de arquivos MKV pelo demuxer do Matroska: ele tem pontuação crítica de gravidade pois tem baixa complexidade de acesso, não exige autenticação para ser explorado e afeta parcialmente a integridade do sistema.
VLC em risco
A VideoLAN recomenda que os usuários evitem abrir arquivos de terceiros que não sejam confiáveis e acessar sites remotos ou que desabilitem os plugins de navegação do VLC antes de fazer a atualização. Com uma versão vulnerável do VLC, a integridade do sistema pode ser desmontada por um simples arquivo AVI ou MKV malicioso.
Vale lembrar que o VLC é um reprodutor amplamente utilizado e que, no começo do ano, ultrapassava três bilhões de downloads. No momento, não há informação sobre se a vulnerabilidade já era explorada antes. O update também corrige um problema de segurança que pode levar à execução de código remoto ao reproduzir arquivos AAC.
Fonte: Genbeta