לידיעת הצופים: פירצת אבטחה חמורה התגלתה בנגן VLC

חולשה שהתגלתה מאפשרת לתוקפים מרחוק להשתלט לכם על הנגן ולנצל אותו לרעה. חוסר התקשורת של החברה המפתחת מדאיג במיוחד

מקור: VLC

אם אתם משתמשים באופן קבוע בנגן הוידאו הפופולארי של VLC, אולי מוטב שתחפשו אופציה אחרת, לפחות לזמן הקרוב; הגוף הגרמני לאבטחת סייבר, CERT-Bund, הודיע לאחרונה על איתור של ליקוי אבטחה קריטי בנגן הוידאו הפופולארי שעשוי לאפשר לתוקפים לקבל גישה למחשב שלכם.

עדיין אין צפי לפתרון

ה-CERT הגרמני (קיצור של Computer emergency response team) דירג את הפירצה הבעייתית בנגן בגרסה 3.0.7.1 ל-Linux, UNIX ו-Windows ברמת חומרה 4 – סיכון גבוה, כשהמקסימום הוא 5. באזהרה שפורסמה על ידו, נטען כי ההשלכות של החולשה באות לידי ביטוי בכך שתוקף מרוחק יכול לקבל גישה למחשב של הקורבן, לבצע שינויים בקוד ולשבש את תקינותה של התוכנה ולפגוע בחווית המשתמש (כשזו, אם תשאלו אותנו, ההשלכה הכי פחות חמורה של הסיטואציה אם כי היא עדיין מטרידה).

באתר הרשמי של Videolan, חברת האם שמתפעלת את תוכנת הקוד הפתוח VLC, ניתן לראות בעמוד הבאגים כי הם מודעים לבאג הבעייתי שקיבל את השם הטכני – ״heap-buffer-overflow on demux_sys_t::FreeUnused״. יחד עם זאת, למרות שרמת החומרה של הבאג וההשלכות שלו הן קריטיות, העבודה על פיתוח תיקון טרם יצאה לדרך.

אז מה עושים? הבשורות החיוביות הן שלפי ה-CERT-Bund לא דווח עדיין על מקרים בהם נעשה שימוש וניצול לרעה בחולשה על ידי האקרים, אבל כאמור – עדיין אין תאריך רשמי לתיקון. לכן, האם להמשיך ולהשתמש בתוכנה כרגיל – זו לחלוטין החלטה שלכם, אבל אולי זו דווקא הזדמנות טובה לבדוק את השוק ולראות אילו אלטרנטיבות מחכות לכם שם בחוץ, לפחות, עד שב-VLC יתעוררו ויספקו פתרון.

היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? היי-טק, סטארטאפים וטכנולוגיה - רוצים להקדים את כולם? להורדת אפליקציית גיקטיים לאייפון ולאנדרואיד לחצו כאן

Avatar

הילה חיימוביץ׳

גיקית, Deal With It

הגב

24 תגובות על "לידיעת הצופים: פירצת אבטחה חמורה התגלתה בנגן VLC"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Ben
Guest

אם אני מבין נכון לפי הכתבה,
לתוקף תהיה יכולת גישה לתוכנה עצמה בלבד ולא למחשב של הנתקף.
האם זו היתה כוונת המשורר?

----
Guest

אתה משעמם

Feature
Guest

לתוכנה יש רשות לקרא ולשמור דברים על המחשב

רם פ.
Guest

VLC, כמו כל תוכנה, רץ עם המשתמש שהפעיל אותו. ב 90% מהמחשבים הביתיים המשתמש הזה הוא Admin מקומי. וזה עוד לפני שחפרתי על privilege elevation.
בקיצור. מדובר בפירצה מאוד חמורה. אבל יש כבר עדכון ולא ידוע על ניצול שלה שרץ חופשי. בקיצור, מה לעשות: להוריד עדכון לתוכנה לפני שאתם מנגנים סרטים ממקור לא ידוע…

תום
Guest

היי, כל הדרמה היא סביב יכולת התוקף להרוס לי את חוויית הצפיה ולגרום לי להסיר ולהתקין מחדש את התוכנה?
אני לא חושב שאנחנו מבינים מה זה “חמור” בפועל וכמה הפירצה הזו זניחה יחסית לפרצות אחרות.

gitBucket
Guest

אולי תשקיעו דקה ותוסיפו לכתבה אלטרנטיבות ל-VLC ?

בוט עצבני
Guest

אולי תשקיע דקה לחיפוש בגוגל!

השם שלי קצר מידי
Guest
השם שלי קצר מידי

הבאג קיבל את הקדימות הכי גבוהה. מדובר בbuffer overflow שזה סוג באג די סטנדרטי (למרות שעדיין מסוכן). תכלס יש מלא כאלה שפשוט אנשים לא יודעים עליהם…
במקרה הזה כדי להפוך את זה להתקפה מישהוא יצטרך ליצר סרט שכולל את קוד ההתקפה ולגרום לכם לנגן אותו בVLC. אז עד שלא יסגרו את הבאג שימו לב מאיפה אתם מורידים את הסרטים שאתם מנגנים בVLC.

לגבי אלטרנטיבות זה קצת בעיה כי הרבה משתמשים באותו מנוע שהם מייצרים (videolan) ולכן יש סיכוי שיהיה פגם באחד מהם. תכלס תיזהרו כשאתם פותחים קבצים ממקור לא ידוע. זה תמיד נכון.

אף אחד
Guest

תודה קפטן

gitBucket
Guest

ממליץ עליך בתור כתב גיקטיים

Feature
Guest

buffer overflow זאת הדרך שבה משתלטים על מחשבים. עיין ערך bluster ששיגע את מיקרוסופט לפני עשור

יחזקל
Guest

למרות שהנגן הזה מעולה יש לו המון אפשריות. כמו צפייה במחשב במצלמת גו פרו בלייף. תחושת הבטן שלי מנעה ממני להשאיר אותו על המחשב. סטרימינג לפי איי.פי זה נחמד אבל חשוד.

לב צהוב
Guest

זה לא חברת אם. זה אוניברסיטת קפריסין. הם המפתחים

אף אחד
Guest

מאיפה הבאת את זה?

שי לשר (Lasher)
Guest
וידיאולן הוא ארגון ללא מטרת רווח, צרפתי, אין תאריך תיקון מובטח ובעצם אין שום דבר מובטח, כי הכל נעשה בהתנדבות וע”י מתנדבים.VLC זה הכלי האולטימטיבי, החינמי הכי טוב שיש ותקיפה של יוצריו ויצירת רושם כאילו מישהו שם חייב לנו משהו – מיותרת. הנה ה about שלהם: What is the legal structure of VideoLAN? VideoLAN is a non-profit organization, under French law. VideoLAN has its own bank account and is responsible for running and maintaining the VideoLAN servers. אבל גם ידוע העניין וגם יטופל (להנחתי) וזו לא “חברה” אלא חבורת מתנדבים שעושים למען המשתמשים, את הכי טוב שיש. טעויות ו-או באגים… Read more »
ממשיכים לאכזב
Guest

ציפיתי מכם לכתבה יותר טכנית בנושא ולא לרמה של ynet

יובל
Guest

הפירצה קיימת רק בלינוקס, לפי הקישור שצירפתם
Platform(s): GNU/Linux

מי האידיוט
Guest

פשוט בושה. הפירצה פורסמה לפני חודש וכבר יש לה פאצ’. מה לעזאזל המקורות שמהם אתם מתעדכנים?

בצל כחול
Guest

ynet מחשבים…

אילן
Guest

תשתמשו ב gom

good old vlc
Guest

ניסיתי בערך את כל הנגנים – בסוף חוזר תמיד לVLC

רם פ.
Guest

בתאריך 6.7.19 יצא כבר תיקון
אולי תעדכנו? או שזה לא באינטרס שלכם ועדיף כותרת מפוצצת על אמת בפרסום?

השם שלי קצר מידי
Guest
השם שלי קצר מידי

מסתבר שזה לא באג ו״חוקר האבטחה״ לא עידכן את התקנת הלינוקס שלו: https://linux.slashdot.org/story/19/07/24/2124240/vlc-developer-debunks-reports-of-critical-security-issue-in-open-source-media-player

ינאי
Guest

לפי VLC מדובר בפייק ניוז. החולשה לא קריטית.


אישית, בתור מישהו שמצא חולשות בvlc בעבר אני נוטה להאמין להם. גם חוקרים נוספים אימתו חלק מהטענות שלהם.
ראוי לכל הפחות להביא את התגובה שלהם.

wpDiscuz

תגיות לכתבה: