นักวิจัยด้านความปลอดภัยจาก Cisco Talos Intelligence Group ได้ค้นพบช่องโหว่ระดับความรุนแรง critical ใน Streaming Media RTSP Server library (CVE-2018-4013) ซึ่งกระทบโปรแกรม VLC และโปรแกรม media player ที่ใช้ library ดังกล่าว
ช่องโหว่พบได้ใน Live Server LIVE 555 Media Server เวอร์ชั่น 0.92 และเวอร์ชั่นก่อนหน้า ช่องโหว่เกิดขึ้นจากปัญหาในการ parse HTTP header โดยผู้โจมตีสามารถส่ง packet ที่เป็นอันตรายที่ทำให้เกิด buffer overflow บนระบบ เช่น ใส่ string "Accept:" หรือ "x-sessioncookie" หลายๆ ครั้งลงไปใน packet ซึ่งจะทำให้เกิด buffer overflow บนฟังก์ชั่น lookForHeader
ก่อนหน้านี้ VLC เคยถูกพบช่องโหว่มาแล้ว โดยนักวิจัยด้านความปลอดภัยได้ระบุช่องโหว่ที่สำคัญในเวอร์ชัน 2.0.5 และเวอร์ชันก่อนหน้าซึ่งอาจถูกโจมตีเพื่อเรียกใช้โค้ดที่เป็นอันตราย บนคอมพิวเตอร์ผ่านไฟล์ ASF
มีการเผยแพร่การอัปเดตเพื่อแก้ไขปัญหาช่องโหว่ Streaming Media RTSP Server library (CVE-2018-4013) ใน VLC แล้ว แนะนำให้ผู้ที่ใช้งานทำการตรวจสอบว่ามีการอัปเดตเป็นเวอร์ชันล่าสุดแล้วหรือไม่
ที่มา:ehackingnews
You must be logged in to post a comment.