El Equipo de Respuesta ante Emergencias Informáticas de Alemania (CERT-Bund) emitió una advertencia de seguridad para alertar a los usuarios del popular reproductor de audio y video, VLC Media Player, acerca de la existencia de una vulnerabilidad crítica.

Un atacante anónimo puede, de manera remota, explotar la vulnerabilidad en VLC para ejecutar código arbitrario, causar una denegación de servicio, exfiltrar información o manipular archivos

Un fallo de corrupción de memoria está en la última versión del reproductor, 3.0.7.1, pero también pueden estar presente en versiones previas, según advirtieron los expertos. Así mismo, la vulneración afecta a las versiones de VLC en Windows, Linux y UNIX y recibió una puntuación de 4 sobre 5 en la escala de severidad que maneja la agencia alemana.



“Un atacante anónimo puede, de manera remota, explotar la vulnerabilidad en VLC para ejecutar código arbitrario, causar una denegación de servicio, exfiltrar información o manipular archivos”, aseguraron desde el CERT-Bund.



El fallo es crítico. De acuerdo con la Base de Datos Nacional de Vulnerabilidades de los Estados Unidos (NVD) del NIST, la vulnerabilidad fue categorizada con un puntaje de 9.8 sobre 10 en la escala que utiliza el Sistema de Puntuación de Vulnerabilidad Común (CVSS).

¿Cómo opera?

El bug es causado por una condición de sobre lectura del búfer de memoria, donde se almacenan datos de manera temporal. De acuerdo con los expertos, para la exitosa explotación de la vulnerabilidad no es necesaria la interacción por parte del usuario y tampoco privilegios del sistema. Sobre esto, el sitio web alemán Heise.de aclara que la explotación podría requerir el diseño especial de un archivo mp4.

Hasta ahora no hay un parche de seguridad para este fallo y la fecha de su lanzamiento tampoco está clara. Según el registro de bugs que llevan adelante los desarrolladores de VLC, VideoLan, la reparación de la vulnerabilidad está dentro de sus prioridades.



Por otra parte, no se han conocido casos de que la vulnerabilidad haya sido explotada de manera activa. Igualmente, hasta que el parche no sea lanzado, la única solución parece ser no utilizar el reproductor hasta ese momento.



Al momento de escribir este artículo, aseguran que el parche fue completado en un 60%.



REDACCIÓN TECNÓSFERA