Successivo
Breccia di Sicurezza

Security

VLC media player, il bug è critico ma la patch ritarda

Alfonso Maruccia | 22 Luglio 2019

Sicurezza Software

Il popolare player multimediale risulta affetto da una grave falla di sicurezza, un problema sfruttabile per compiere ogni sorta di […]

Il popolare player multimediale risulta affetto da una grave falla di sicurezza, un problema sfruttabile per compiere ogni sorta di attacco. Exploit funzionanti non sono al momento in circolazione, ma i lavori su un fix procedono troppo a rilento.

L’agenzia tedesca CERT-Bund ha scovato una pericolosa vulnerabilità di sicurezza nel codice di VLC media player, lettore multimediale caratterizzato da una popolarità senza precedenti che si quantifica in oltre tre miliardi di download per tutte le piattaforme supportate. L’ultima versione del software contiene un baco potenzialmente utilizzabile come arma di “attacco” da parte di hacker e cyber-criminali.

Classificata come CVE-2019-13615, la vulnerabilità individuata dagli esperti del CERT-Bund si configura come un classico caso di buffer overflow: criminali e malintenzionati possono in teoria sfruttare il baco per eseguire codice malevolo da remoto, carpire dati in maniera non autorizzata, modificare senza alcun permesso i file e gettare scompiglio nei servizi di rete.

VLC

Cert-Bund ha classificato il bug di VLC con un livello di pericolosità “alto”, il secondo in quanto a gravità nella classifica dell’agenzia, e di certo l’estrema popolarità del lettore software non aiuta a mitigare il problema. Almeno per ora, comunque, non si conoscono exploit funzionanti già in circolazione.

Gli sviluppatori di Videolan hanno recepito l’esistenza del baco e sono al lavoro su una patch correttiva, anche se al momento la versione di VLC ufficialmente disponibile per il download è ancora quella risultata vulnerabile all’analisi degli esperti (la 3.0.7.1).