VLC Media Player Vulnerability RCE ( Remote Code execution ) Unpatched - Kali ini kita akan membahas tentang VLC Media Player yang memiliki kerentanan RCE ( Remote Code Execution ).
VideoLAN menunjuk ZDNet ke arah umpan Twitter sebagai tanggapan, dengan mengatakan bahwa "tidak ada masalah keamanan di VLC versi terakhir," dan sebagai gantinya, kesalahan dari MITER dan CERT_BUND salah.
Kerentanan serius telah ditemukan dalam rilis terbaru pemutar media VLC dan tidak ada tambalan yang tersedia.
VLC player VideoLAN nirlaba adalah perangkat lunak populer yang digunakan untuk memutar dan mengonversi berbagai file audio dan visual. Tersedia untuk sistem Windows, Linux, Mac OS X, Unix, iOS, dan Android, media player open-source kini telah menjadi fokus dari penasihat keamanan baru-baru ini yang dirilis oleh Tim Tanggap Darurat Komputer Jerman (CERT-Bund).
Dalam penasehatnya, CERT-Bund memperingatkan bahwa VLC media player versi 3.0.7.1, versi terbaru yang tersedia, mengandung kerentanan yang telah mendapatkan skor CVSS 9,8 dari 10.
Bug over-read buffer berbasis heap, ditemukan di VLC's mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp protocol when called from mkv::Open in modules/demux/mkv/mkv.cpp, berpotensi separah yang didapatnya.
"Penyerang jarak jauh, anonymous dapat mengeksploitasi kerentanan dalam VLC untuk mengeksekusi kode arbitrer, menyebabkan kondisi penolakan layanan, mengecek informasi, atau memanipulasi file,"Noted By ESET
Kerentanan diketahui ada di versi terbaru VLC pada mesin Windows, Linux, dan Unix, tetapi ada kemungkinan bug itu juga ada di versi sebelumnya.
Dilacak sebagai CVE-2019-13615, kelemahan keamanan tidak memerlukan eskalasi hak istimewa atau interaksi pengguna untuk mengeksploitasi.
Publikasi Jerman Heise Online melaporkan bahwa file .MP4 buatan mungkin diperlukan untuk memicu eksploitasi, tetapi ini belum dikonfirmasi oleh peneliti atau CERT-Bund pada saat penulisan.
VLC dengan cepat mengerjakan perbaikan. Menurut pelacak bug nirlaba, kerentanan telah diberikan prioritas "tertinggi" untuk tambalan dan pelacak tampaknya menyarankan perbaikan adalah 60 persen selesai, menurut pengembang yang memposting pembaruan dua hari lalu.
Meskipun tidak ada tanggal konkret untuk rilis patch, dalam berita yang lebih baik, tidak ada kasus kerentanan yang diketahui dieksploitasi di alam liar.
VideoLAN menunjuk ZDNet ke arah umpan Twitter sebagai tanggapan, dengan mengatakan bahwa "tidak ada masalah keamanan di VLC versi terakhir," dan sebagai gantinya, kesalahan dari MITER dan CERT_BUND salah.
 |
| VLC Media Player Vulnerability RCE ( Remote Code execution ) Unpatched |
VLC player VideoLAN nirlaba adalah perangkat lunak populer yang digunakan untuk memutar dan mengonversi berbagai file audio dan visual. Tersedia untuk sistem Windows, Linux, Mac OS X, Unix, iOS, dan Android, media player open-source kini telah menjadi fokus dari penasihat keamanan baru-baru ini yang dirilis oleh Tim Tanggap Darurat Komputer Jerman (CERT-Bund).
Dalam penasehatnya, CERT-Bund memperingatkan bahwa VLC media player versi 3.0.7.1, versi terbaru yang tersedia, mengandung kerentanan yang telah mendapatkan skor CVSS 9,8 dari 10.
Bug over-read buffer berbasis heap, ditemukan di VLC's mkv::demux_sys_t::FreeUnused() in modules/demux/mkv/demux.cpp protocol when called from mkv::Open in modules/demux/mkv/mkv.cpp, berpotensi separah yang didapatnya.
Baca Juga : Blind XSS To PHP File Upload Vulnerability in Antihack.me
"Penyerang jarak jauh, anonymous dapat mengeksploitasi kerentanan dalam VLC untuk mengeksekusi kode arbitrer, menyebabkan kondisi penolakan layanan, mengecek informasi, atau memanipulasi file,"Noted By ESET
Kerentanan diketahui ada di versi terbaru VLC pada mesin Windows, Linux, dan Unix, tetapi ada kemungkinan bug itu juga ada di versi sebelumnya.
Dilacak sebagai CVE-2019-13615, kelemahan keamanan tidak memerlukan eskalasi hak istimewa atau interaksi pengguna untuk mengeksploitasi.
Publikasi Jerman Heise Online melaporkan bahwa file .MP4 buatan mungkin diperlukan untuk memicu eksploitasi, tetapi ini belum dikonfirmasi oleh peneliti atau CERT-Bund pada saat penulisan.
Baca Juga : Aplikasi Pinjaman Online Play Store Merekam Aktifitas Pribadi
VLC dengan cepat mengerjakan perbaikan. Menurut pelacak bug nirlaba, kerentanan telah diberikan prioritas "tertinggi" untuk tambalan dan pelacak tampaknya menyarankan perbaikan adalah 60 persen selesai, menurut pengembang yang memposting pembaruan dua hari lalu.
Meskipun tidak ada tanggal konkret untuk rilis patch, dalam berita yang lebih baik, tidak ada kasus kerentanan yang diketahui dieksploitasi di alam liar.