Обновлено 25.07.2019. Добавлена информация, опровергающая наличие проблемы в актуальных версиях плеера.

Специалисты из команды CERT-Bund, правительственной группы реагирования на компьютерные инциденты в Германии, обнаружили критическую уязвимость в популярном кроссплатформенном медиапроигрывателе VLC Media Player. Злоумышленники могут воспользоваться ею для удаленного выполнения произвольного кода, манипулирования файлами, просмотра конфиденциальной информации. Также баг может привести к состоянию отказа в обслуживании.

Уязвимость получила идентификатор CVE-2019-13615 и оценку в 9,8 балла из 10 возможных по шкале CVSS. Проблема связана с ошибкой чтения за границами буфера в куче, которая может возникнуть при воспроизведении мультимедийных материалов в формате .mkv. Эксплуатация уязвимости не требует системных привилегий или взаимодействия с пользователем.

Разъясняя суть ошибки, репортер LinuxReviews отметил, что атаку можно провести с помощью специально созданного видеофайла, помещенного в mkv-контейнер. Для отвода глаз ему можно, к примеру, придать расширение .mp4. Плеер VLC все равно воспримет его как файл .mkv и при его открытии подтянет соответствующий демультиплексор — тот, в коде которого и была выявлена ошибка.

Наличие проблемы подтверждено для последней сборки проигрывателя — 3.0.7.1. Уязвимость затрагивает версии программы для Windows, Linux и UNIX. Информации о том, что версия для macOS тоже находится под угрозой, пока нет.

Компания-разработчик VideoLAN работает над созданием патча уже около месяца. Однако на текущий момент его готовность составляет всего 60%. Случаев использования уязвимости в атаках пока не зафиксировано. Не исключено, что после публикации вероятность эксплойта возрастет, причем в большей степени для мишеней, имеющих особую ценность для злоумышленников.

VLC Media Player — один из самых популярных плееров в мире. Согласно официальной статистике, его загрузили примерно 3 млрд раз для различных систем и в различных версиях. Программа может воспроизводить практически все форматы мультимедиа, имеет открытый исходный код и распространяется бесплатно.

Update. Комментируя ситуацию в Twitter, представитель VideoLAN пояснил, что в наличии уязвимости, о которой идет речь, повинен сторонний компонент — libebml, который разработчик пропатчил года полтора назад. Все выпуски VLC Media Player, начиная с 3.0.3, используют исправленную версию библиотеки и потому уязвимости не подвержены.

Как оказалось, автор «находки» пользовался устаревшей версией Ubuntu, с непропатченной libebml. Предупреждение, опубликованное CERT-Bund без надлежащей проверки, подхватили блогеры и СМИ. Те немногие, кто удосужился опробовать приведенный в отчете исследователя PoC-файл, не смогли убедиться в работоспособности эксплойта. Команда из Bleeping Computer, к примеру, проверила таким образом несколько версий VLC (новее 3.0.3), но никаких тревожных симптомов не обнаружила.

MITRE, со своей стороны, поспешила зарегистрировать уязвимость как CVE-2019-13615, привязав ее в описании к плееру VideoLAN. В настоящее время ошибка исправлена, а степень угрозы снижена до умеренной (5,5 балла по CVSS).

Категории: Уязвимости