לידיעת הצופים: פירצת אבטחה חמורה התגלתה בנגן VLC
חולשה שהתגלתה מאפשרת לתוקפים מרחוק להשתלט לכם על הנגן ולנצל אותו לרעה. חוסר התקשורת של החברה המפתחת מדאיג במיוחד
אם אתם משתמשים באופן קבוע בנגן הוידאו הפופולארי של VLC, אולי מוטב שתחפשו אופציה אחרת, לפחות לזמן הקרוב; הגוף הגרמני לאבטחת סייבר, CERT-Bund, הודיע לאחרונה על איתור של ליקוי אבטחה קריטי בנגן הוידאו הפופולארי שעשוי לאפשר לתוקפים לקבל גישה למחשב שלכם.
עדיין אין צפי לפתרון
ה-CERT הגרמני (קיצור של Computer emergency response team) דירג את הפירצה הבעייתית בנגן בגרסה 3.0.7.1 ל-Linux, UNIX ו-Windows ברמת חומרה 4 – סיכון גבוה, כשהמקסימום הוא 5. באזהרה שפורסמה על ידו, נטען כי ההשלכות של החולשה באות לידי ביטוי בכך שתוקף מרוחק יכול לקבל גישה למחשב של הקורבן, לבצע שינויים בקוד ולשבש את תקינותה של התוכנה ולפגוע בחווית המשתמש (כשזו, אם תשאלו אותנו, ההשלכה הכי פחות חמורה של הסיטואציה אם כי היא עדיין מטרידה).
באתר הרשמי של Videolan, חברת האם שמתפעלת את תוכנת הקוד הפתוח VLC, ניתן לראות בעמוד הבאגים כי הם מודעים לבאג הבעייתי שקיבל את השם הטכני – ״heap-buffer-overflow on demux_sys_t::FreeUnused״. יחד עם זאת, למרות שרמת החומרה של הבאג וההשלכות שלו הן קריטיות, העבודה על פיתוח תיקון טרם יצאה לדרך.
אז מה עושים? הבשורות החיוביות הן שלפי ה-CERT-Bund לא דווח עדיין על מקרים בהם נעשה שימוש וניצול לרעה בחולשה על ידי האקרים, אבל כאמור – עדיין אין תאריך רשמי לתיקון. לכן, האם להמשיך ולהשתמש בתוכנה כרגיל – זו לחלוטין החלטה שלכם, אבל אולי זו דווקא הזדמנות טובה לבדוק את השוק ולראות אילו אלטרנטיבות מחכות לכם שם בחוץ, לפחות, עד שב-VLC יתעוררו ויספקו פתרון.
הגב
24 תגובות על "לידיעת הצופים: פירצת אבטחה חמורה התגלתה בנגן VLC"
* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.
אם אני מבין נכון לפי הכתבה,
לתוקף תהיה יכולת גישה לתוכנה עצמה בלבד ולא למחשב של הנתקף.
האם זו היתה כוונת המשורר?
אתה משעמם
לתוכנה יש רשות לקרא ולשמור דברים על המחשב
VLC, כמו כל תוכנה, רץ עם המשתמש שהפעיל אותו. ב 90% מהמחשבים הביתיים המשתמש הזה הוא Admin מקומי. וזה עוד לפני שחפרתי על privilege elevation.
בקיצור. מדובר בפירצה מאוד חמורה. אבל יש כבר עדכון ולא ידוע על ניצול שלה שרץ חופשי. בקיצור, מה לעשות: להוריד עדכון לתוכנה לפני שאתם מנגנים סרטים ממקור לא ידוע…
היי, כל הדרמה היא סביב יכולת התוקף להרוס לי את חוויית הצפיה ולגרום לי להסיר ולהתקין מחדש את התוכנה?
אני לא חושב שאנחנו מבינים מה זה "חמור" בפועל וכמה הפירצה הזו זניחה יחסית לפרצות אחרות.
אולי תשקיעו דקה ותוסיפו לכתבה אלטרנטיבות ל-VLC ?
אולי תשקיע דקה לחיפוש בגוגל!
הבאג קיבל את הקדימות הכי גבוהה. מדובר בbuffer overflow שזה סוג באג די סטנדרטי (למרות שעדיין מסוכן). תכלס יש מלא כאלה שפשוט אנשים לא יודעים עליהם…
במקרה הזה כדי להפוך את זה להתקפה מישהוא יצטרך ליצר סרט שכולל את קוד ההתקפה ולגרום לכם לנגן אותו בVLC. אז עד שלא יסגרו את הבאג שימו לב מאיפה אתם מורידים את הסרטים שאתם מנגנים בVLC.
לגבי אלטרנטיבות זה קצת בעיה כי הרבה משתמשים באותו מנוע שהם מייצרים (videolan) ולכן יש סיכוי שיהיה פגם באחד מהם. תכלס תיזהרו כשאתם פותחים קבצים ממקור לא ידוע. זה תמיד נכון.
תודה קפטן
ממליץ עליך בתור כתב גיקטיים
buffer overflow זאת הדרך שבה משתלטים על מחשבים. עיין ערך bluster ששיגע את מיקרוסופט לפני עשור
למרות שהנגן הזה מעולה יש לו המון אפשריות. כמו צפייה במחשב במצלמת גו פרו בלייף. תחושת הבטן שלי מנעה ממני להשאיר אותו על המחשב. סטרימינג לפי איי.פי זה נחמד אבל חשוד.
זה לא חברת אם. זה אוניברסיטת קפריסין. הם המפתחים
מאיפה הבאת את זה?
ציפיתי מכם לכתבה יותר טכנית בנושא ולא לרמה של ynet
הפירצה קיימת רק בלינוקס, לפי הקישור שצירפתם
Platform(s): GNU/Linux
פשוט בושה. הפירצה פורסמה לפני חודש וכבר יש לה פאצ'. מה לעזאזל המקורות שמהם אתם מתעדכנים?
ynet מחשבים…
תשתמשו ב gom
ניסיתי בערך את כל הנגנים – בסוף חוזר תמיד לVLC
בתאריך 6.7.19 יצא כבר תיקון
אולי תעדכנו? או שזה לא באינטרס שלכם ועדיף כותרת מפוצצת על אמת בפרסום?
מסתבר שזה לא באג ו״חוקר האבטחה״ לא עידכן את התקנת הלינוקס שלו: https://linux.slashdot.org/story/19/07/24/2124240/vlc-developer-debunks-reports-of-critical-security-issue-in-open-source-media-player
לפי VLC מדובר בפייק ניוז. החולשה לא קריטית.
אישית, בתור מישהו שמצא חולשות בvlc בעבר אני נוטה להאמין להם. גם חוקרים נוספים אימתו חלק מהטענות שלהם.
ראוי לכל הפחות להביא את התגובה שלהם.