לידיעת הצופים: פירצת אבטחה חמורה התגלתה בנגן VLC

22.07.2019 24 תגובות אבטחת מידע

Share

חולשה שהתגלתה מאפשרת לתוקפים מרחוק להשתלט לכם על הנגן ולנצל אותו לרעה. חוסר התקשורת של החברה המפתחת מדאיג במיוחד

מקור: VLC

אם אתם משתמשים באופן קבוע בנגן הוידאו הפופולארי של VLC, אולי מוטב שתחפשו אופציה אחרת, לפחות לזמן הקרוב; הגוף הגרמני לאבטחת סייבר, CERT-Bund, הודיע לאחרונה על איתור של ליקוי אבטחה קריטי בנגן הוידאו הפופולארי שעשוי לאפשר לתוקפים לקבל גישה למחשב שלכם.

עדיין אין צפי לפתרון

ה-CERT הגרמני (קיצור של Computer emergency response team) דירג את הפירצה הבעייתית בנגן בגרסה 3.0.7.1 ל-Linux, UNIX ו-Windows ברמת חומרה 4 – סיכון גבוה, כשהמקסימום הוא 5. באזהרה שפורסמה על ידו, נטען כי ההשלכות של החולשה באות לידי ביטוי בכך שתוקף מרוחק יכול לקבל גישה למחשב של הקורבן, לבצע שינויים בקוד ולשבש את תקינותה של התוכנה ולפגוע בחווית המשתמש (כשזו, אם תשאלו אותנו, ההשלכה הכי פחות חמורה של הסיטואציה אם כי היא עדיין מטרידה).

באתר הרשמי של Videolan, חברת האם שמתפעלת את תוכנת הקוד הפתוח VLC, ניתן לראות בעמוד הבאגים כי הם מודעים לבאג הבעייתי שקיבל את השם הטכני – ״heap-buffer-overflow on demux_sys_t::FreeUnused״. יחד עם זאת, למרות שרמת החומרה של הבאג וההשלכות שלו הן קריטיות, העבודה על פיתוח תיקון טרם יצאה לדרך.

אז מה עושים? הבשורות החיוביות הן שלפי ה-CERT-Bund לא דווח עדיין על מקרים בהם נעשה שימוש וניצול לרעה בחולשה על ידי האקרים, אבל כאמור – עדיין אין תאריך רשמי לתיקון. לכן, האם להמשיך ולהשתמש בתוכנה כרגיל – זו לחלוטין החלטה שלכם, אבל אולי זו דווקא הזדמנות טובה לבדוק את השוק ולראות אילו אלטרנטיבות מחכות לכם שם בחוץ, לפחות, עד שב-VLC יתעוררו ויספקו פתרון.

היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? להורדת אפליקציית גיקטיים לאייפון ולאנדרואיד לחצו כאן

Share

הילה חיימוביץ׳

גיקית, Deal With It

הגב

24 תגובות על "לידיעת הצופים: פירצת אבטחה חמורה התגלתה בנגן VLC"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Ben
Guest
Ben

אם אני מבין נכון לפי הכתבה,
לתוקף תהיה יכולת גישה לתוכנה עצמה בלבד ולא למחשב של הנתקף.
האם זו היתה כוונת המשורר?

דרג/י למעלה
8
דרג/י למטה  תגובות
2 years 6 months ago
----
Guest
----

אתה משעמם

דרג/י למעלה
-22
דרג/י למטה  תגובות
2 years 6 months ago
Feature
Guest
Feature

לתוכנה יש רשות לקרא ולשמור דברים על המחשב

דרג/י למעלה
3
דרג/י למטה  תגובות
2 years 6 months ago
רם פ.
Guest
רם פ.

VLC, כמו כל תוכנה, רץ עם המשתמש שהפעיל אותו. ב 90% מהמחשבים הביתיים המשתמש הזה הוא Admin מקומי. וזה עוד לפני שחפרתי על privilege elevation.
בקיצור. מדובר בפירצה מאוד חמורה. אבל יש כבר עדכון ולא ידוע על ניצול שלה שרץ חופשי. בקיצור, מה לעשות: להוריד עדכון לתוכנה לפני שאתם מנגנים סרטים ממקור לא ידוע…

דרג/י למעלה
3
דרג/י למטה  תגובות
2 years 6 months ago
תום
Guest
תום

היי, כל הדרמה היא סביב יכולת התוקף להרוס לי את חוויית הצפיה ולגרום לי להסיר ולהתקין מחדש את התוכנה?
אני לא חושב שאנחנו מבינים מה זה “חמור” בפועל וכמה הפירצה הזו זניחה יחסית לפרצות אחרות.

דרג/י למעלה
4
דרג/י למטה  תגובות
2 years 6 months ago
gitBucket
Guest
gitBucket

אולי תשקיעו דקה ותוסיפו לכתבה אלטרנטיבות ל-VLC ?

דרג/י למעלה
4
דרג/י למטה  תגובות
2 years 6 months ago
בוט עצבני
Guest
בוט עצבני

אולי תשקיע דקה לחיפוש בגוגל!

דרג/י למעלה
-2
דרג/י למטה  תגובות
2 years 6 months ago
השם שלי קצר מידי
Guest
השם שלי קצר מידי

הבאג קיבל את הקדימות הכי גבוהה. מדובר בbuffer overflow שזה סוג באג די סטנדרטי (למרות שעדיין מסוכן). תכלס יש מלא כאלה שפשוט אנשים לא יודעים עליהם…
במקרה הזה כדי להפוך את זה להתקפה מישהוא יצטרך ליצר סרט שכולל את קוד ההתקפה ולגרום לכם לנגן אותו בVLC. אז עד שלא יסגרו את הבאג שימו לב מאיפה אתם מורידים את הסרטים שאתם מנגנים בVLC.

לגבי אלטרנטיבות זה קצת בעיה כי הרבה משתמשים באותו מנוע שהם מייצרים (videolan) ולכן יש סיכוי שיהיה פגם באחד מהם. תכלס תיזהרו כשאתם פותחים קבצים ממקור לא ידוע. זה תמיד נכון.

דרג/י למעלה
23
דרג/י למטה  תגובות
2 years 6 months ago
אף אחד
Guest
אף אחד

תודה קפטן

דרג/י למעלה
3
דרג/י למטה  תגובות
2 years 6 months ago
gitBucket
Guest
gitBucket

ממליץ עליך בתור כתב גיקטיים

דרג/י למעלה
8
דרג/י למטה  תגובות
2 years 6 months ago
Feature
Guest
Feature

buffer overflow זאת הדרך שבה משתלטים על מחשבים. עיין ערך bluster ששיגע את מיקרוסופט לפני עשור

דרג/י למעלה
-2
דרג/י למטה  תגובות
2 years 6 months ago
יחזקל
Guest
יחזקל

למרות שהנגן הזה מעולה יש לו המון אפשריות. כמו צפייה במחשב במצלמת גו פרו בלייף. תחושת הבטן שלי מנעה ממני להשאיר אותו על המחשב. סטרימינג לפי איי.פי זה נחמד אבל חשוד.

דרג/י למעלה
-3
דרג/י למטה  תגובות
2 years 6 months ago
לב צהוב
Guest
לב צהוב

זה לא חברת אם. זה אוניברסיטת קפריסין. הם המפתחים

דרג/י למעלה
1
דרג/י למטה  תגובות
2 years 6 months ago
אף אחד
Guest
אף אחד

מאיפה הבאת את זה?

דרג/י למעלה
3
דרג/י למטה  תגובות
2 years 6 months ago
שי לשר (Lasher)
Guest
שי לשר (Lasher)
וידיאולן הוא ארגון ללא מטרת רווח, צרפתי, אין תאריך תיקון מובטח ובעצם אין שום דבר מובטח, כי הכל נעשה בהתנדבות וע”י מתנדבים.VLC זה הכלי האולטימטיבי, החינמי הכי טוב שיש ותקיפה של יוצריו ויצירת רושם כאילו מישהו שם חייב לנו משהו – מיותרת. הנה ה about שלהם: What is the legal structure of VideoLAN? VideoLAN is a non-profit organization, under French law. VideoLAN has its own bank account and is responsible for running and maintaining the VideoLAN servers. אבל גם ידוע העניין וגם יטופל (להנחתי) וזו לא “חברה” אלא חבורת מתנדבים שעושים למען המשתמשים, את הכי טוב שיש. טעויות ו-או באגים… Read more »
דרג/י למעלה
14
דרג/י למטה  תגובות
2 years 6 months ago
ממשיכים לאכזב
Guest
ממשיכים לאכזב

ציפיתי מכם לכתבה יותר טכנית בנושא ולא לרמה של ynet

דרג/י למעלה
17
דרג/י למטה  תגובות
2 years 6 months ago
יובל
Guest
יובל

הפירצה קיימת רק בלינוקס, לפי הקישור שצירפתם
Platform(s): GNU/Linux

דרג/י למעלה
4
דרג/י למטה  תגובות
2 years 6 months ago
מי האידיוט
Guest
מי האידיוט

פשוט בושה. הפירצה פורסמה לפני חודש וכבר יש לה פאצ’. מה לעזאזל המקורות שמהם אתם מתעדכנים?

דרג/י למעלה
9
דרג/י למטה  תגובות
2 years 6 months ago
בצל כחול
Guest
בצל כחול

ynet מחשבים…

דרג/י למעלה
7
דרג/י למטה  תגובות
2 years 6 months ago
אילן
Guest
אילן

תשתמשו ב gom

דרג/י למעלה
1
דרג/י למטה  תגובות
2 years 6 months ago
good old vlc
Guest
good old vlc

ניסיתי בערך את כל הנגנים – בסוף חוזר תמיד לVLC

דרג/י למעלה
3
דרג/י למטה  תגובות
2 years 6 months ago
רם פ.
Guest
רם פ.

בתאריך 6.7.19 יצא כבר תיקון
אולי תעדכנו? או שזה לא באינטרס שלכם ועדיף כותרת מפוצצת על אמת בפרסום?

דרג/י למעלה
1
דרג/י למטה  תגובות
2 years 6 months ago
השם שלי קצר מידי
Guest
השם שלי קצר מידי

מסתבר שזה לא באג ו״חוקר האבטחה״ לא עידכן את התקנת הלינוקס שלו: https://linux.slashdot.org/story/19/07/24/2124240/vlc-developer-debunks-reports-of-critical-security-issue-in-open-source-media-player

דרג/י למעלה
1
דרג/י למטה  תגובות
2 years 6 months ago
ינאי
Guest
ינאי

לפי VLC מדובר בפייק ניוז. החולשה לא קריטית.


אישית, בתור מישהו שמצא חולשות בvlc בעבר אני נוטה להאמין להם. גם חוקרים נוספים אימתו חלק מהטענות שלהם.
ראוי לכל הפחות להביא את התגובה שלהם.

דרג/י למעלה
1
דרג/י למטה  תגובות
2 years 6 months ago
wpDiscuz

תגיות לכתבה: