VideoLAN は、広く使用されている VLC プレーヤー ソフトウェアの CVE リストに記載されている 13 個のセキュリティ脆弱性に対処するためのアップデートをリリースしました。
VLCのアップデートには、サービス拒否(つまりアプリケーションのクラッシュ)からリモートコード実行(つまりマルウェアのインストール)まで、様々な脆弱性を修正するパッチが含まれています。ユーザーと管理者は、VLCをバージョン3.0.8以降にアップデートすることで、すべての脆弱性に対する修正を受けることができます。
これまでのところ、これらのセキュリティホールを悪用した攻撃は実際に報告されていません。
「これらの問題自体はプレーヤーをクラッシュさせるだけの可能性が最も高いですが、これらが組み合わさることでユーザー情報の漏洩やリモートコード実行につながる可能性も排除できません」とVideoLANはアップデート発表の際に述べています。「ASLRとDEPはコード実行の可能性を低減するのに役立ちますが、回避される可能性があります。」
13件の脆弱性は、WMV、MP4、AVI、OGG形式の動画など、不正なメディアファイルを開くことで悪用される可能性があります。また、悪意のあるウェブページにアクセスすることで、ブラウザのプラグインを介して脆弱性が悪用される可能性もあります。
13件の脆弱性のうち11件は、セキュリティ企業Semmleのバグハンター、アントニオ・モラレス・マルドナド氏によって発見され、VideoLANに報告されました。マルドナド氏は、これらの10件の脆弱性のうち、特に5件(use-after-free()脆弱性2件と境界外書き込み脆弱性3件)が、実際に悪用された場合、リモートコード実行の恐れがあるため、特に危険であると考えています。
CVE-2019-14438 は .ogg ファイルをターゲットとしているため、特に興味深いものです。
不正動画はVLCのセキュリティ欠陥を突いてPCを乗っ取る可能性があると米国とドイツが警告。ソフトウェアメーカーはこうした主張に納得していない
続きを読む
Semmleは開示情報の中で、「この脆弱性は、xiph_CountHeaders関数によって正しくカウントされない、特別に細工されたヘッダーを挿入することで引き起こされる可能性があります。その結果、書き込まれるバイトの総数が予想よりも大きくなり、以前に割り当てられたバッファがオーバーフローする可能性があります」と述べています。
その結果、書き込まれる可能性のあるバイト数が予想よりも大きくなり、以前に割り当てられたバッファがオーバーフローします。この場合、上書き可能なバイト数が多いこと、そしてOOB読み取りになる可能性があることから、脆弱性のリスクも高まります。
他に2つのリモートコード実行脆弱性が、ホワイトハットのHyeon-Ju Lee氏(CVE-2019-13602を発見)とXinyu Liu氏(CVE-2019-13962を発見)によって発見されました。どちらも、特別に細工された.MP4ファイルを起動することで発動します。
マルドナド氏が発見したその他の脆弱性には、境界外読み取りの脆弱性 3 件 (情報漏洩またはアプリケーションのクラッシュにつながる) と、ゼロ除算の脆弱性 2 件、およびアプリケーションをクラッシュさせる NULL ポインタ参照の脆弱性 1 件が含まれています。®
