พบช่องโหว่อันตรายในโปรแกรม VLC player

VLC media player เป็นแอปพลิเคชั่นสำหรับเล่นไฟล์เสียงหรือวิดีโอ มีผู้ติดตั้งมากกว่า 3100 ล้านครั้ง ให้บริการในหลายระบบปฏิบัติการ

About the "security issue" on #VLC : VLC is not vulnerable.
tl;dr: the issue is in a 3rd party library, called libebml, which was fixed more than 16 months ago.
VLC since version 3.0.3 has the correct version shipped, and @MITREcorp did not even check their claim.

Thread:

— VideoLAN (@videolan) July 24, 2019

หน่วยงาน Computer Emergency Response Team (CERT-Bund) ของเยอรมนี ให้คำแนะนำกับผู้ใช้โปรแกรม VLC media player เกี่ยวช่องโหว่อันตราย

“แฮกเกอร์สามารถรีโมตเข้าเครื่องได้ผ่านช่องโหว่ในโปรแกรม VLC เพื่อเริ่มทำงานโค้ด ทำให้อุปกรณ์ใช้งานไม่ได้ ข้อมูลถูกขโมยออกไป หรือสร้างไฟล์ซ้ำ” ทาง CERT-Bund ประกาศ

เวอร์ชั่นของ VLC media player ที่ได้รับผลกระทบ

3.0.7.1 หรือต่ำกว่า บนแพลตฟอร์ม Windows, Linux และ UNIX

ช่องโหว่ดังกล่าวได้ระดับความอันตรายอยู่ที่ 9.8/10 โดย Common Vulnerability Scoring System (CVSS) เนื่องจากไม่จำเป็นต้องมีสิทธิการใช้งานอุปกรณ์และเจาะช่องโหว่ได้โดยผู้ใช้ไม่รู้ตัว รหัสช่องโหว่สากล CVE-2019-13615

เว็บไซต์เทคโนโลยี Heise.de ของเยอรมนีบอกว่าแค่เพียงไฟล์ .mp4 ที่ออกแบบสำหรับการเจาะช่องโหว่ไฟล์เดียวก็เพียงพอสำหรับการแทรกซึม

สำหรับการป้องกันเราขอแนะนำให้ผู้ใช้ VLC media player อัพเดตโปรแกรมให้เป็นเวอร์ชั่นสูงกว่า 3.0.7.1 หรือเวอร์ชั่นล่าสุด

Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2019/07/22/critical-vulnerability-vlc-no-patch/
Translated by: Worapon H.